Impôts 2023 : « Alerte DGFIP », attention à cette campagne de vol de données fiscales qui sévit par SMS
Des cybercriminels tentent de récupérer grâce à un faux site des numéros fiscaux et des mots de passe pour détourner des comptes de l’administration fiscale.
C’est la dernière ligne droite pour les déclarations fiscales de l’impôt sur le revenu et les hackers voudraient bien aussi vous prélever quelques chiffres. Après la vignette Crit’Air ou la fausse livraison de colis, une campagne d’arnaque aux données fiscales prend de l’ampleur depuis une semaine alors que s’achève ce lundi la campagne d’envoi des déclarations en format papier.
Envoyé à partir d’un numéro en 06, le SMS tente de se faire passer pour la Direction générale des Finances publiques (DGFiP) et comporte un lien vers un site malveillant en insistant sur l’urgence : « Alerte DGFIP : Pour des raisons de sécurité, veuillez confirmer votre numéro de téléphone mobile avant le 27/05/23. Rendez-vous directement sur « Impots-2023 ». com ».
Cette plateforme épouse bien les contours du site officiel Impots.gouv.fr et demande d’abord d’entrer votre numéro fiscal à 13 chiffres avant de requérir votre mot de passe. Après avoir aspiré ces données fiscales, les escrocs se montrent gourmands et demandent de saisir les informations manquantes : le numéro de téléphone et plus étonnant, un code régional à deux chiffres. Une fois, la « vérification confirmée », la page redirige vers le vrai site des impôts où, belle ironie, un message alerte contre les tentatives d’arnaque aux faux remboursements devenues un classique du « phishing » d’abord par e-mail et plus récemment par SMS.
La période la plus propice
« Les messages habituels d’accroche des arnaques reposent souvent sur cette fausse promesse et circulent plutôt à la fin de l’été », souligne Jean-Jacques Latour, responsable expertise à cybermalveillance.gouv.fr. « Ils agissent en ce moment par petites rafales successives de SMS car c’est la période de l’année en pleine campagne de déclarations où on échange le plus avec l’administration fiscale » pointe l’expert. Sa plateforme d’aide aux victimes a enregistré depuis quelques jours une hausse des consultations des articles dédiés aux hameçonnages lié aux impôts. Un bon moyen de lever un premier doute en repérant les techniques des cyberdélinquants.
Mais les malandrins ont innové sur cette vague et ne se limitent pas à récolter des données. « C’est la première fois que l’on voit un message laconique qui vise plutôt à prendre le contrôle du compte pour des malversations », relève Jean-Jacques Latour. Avec des scénarios rentables en tête comme modifier des coordonnées bancaires, falsifier une déclaration et obtenir des crédits d’impôts en remboursements ou revendre leur butin à d’autres criminels à l’imagination toujours aussi riche. Longtemps cantonné aux e-mails, le phishing a aussi muté vers le « smishing », des SMS pour appâter la victime vers un site frauduleux afin de l’extorquer.
