Cyber attaque bancaire à l’encontre de millions de francophones

Depuis quelques heures, ZATAZ a repéré une cyber attaque à l’encontre des données privées et personnelles de millions de francophones. Explication !

Tout débute par un courriel. Un « classique » phishing qui, au moment de l’écriture de cet article n’était détecté par aucun outil de sécurité (antispam, navigateur, …). Le courriel s’annonce comme une « notification » de votre banque, de votre outil de paiement en ligne, …

ZATAZ a détecté quatre versions amenant à la même adresse web malveillante. Le courriel explique que : « Depuis le 14 septembre 2019, la directive européenne sur les services de paiements en ligne DSP2 exige une authentification forte. C’est pourquoi nous devons vérifier l’identité de chaque client. » Un message sérieux, contenant une vraie information liée à la sécurisation des connexions à sa banque, commerces, lors de la validation d’un achat.

La missive est très propre, reprenant des formats existants. Le pirate n’oublie pas de rajouter une petite menace. Juste ce qu’il faut pour inquiéter, sans faire fuir et inciter le lecteur à appeler son conseiller bancaire : « Si vous ne souhaitez pas effectuer cette identification, votre compte sera fermé définitivement dans les 48 heures. Des frais peuvent être prélevés sur votre moyen de paiement pour non respect de la loi à hauteur de 19,90€ pour les frais de clôture du compte.« 

Dans le courriel, une adresse web. Efficace, très efficace. D’abord elle arbore un fier .fr. Ensuite, un HTTPS qui rassure.

Pour rappel, le S du HTTPS ne veut dire qu’une seule chose. La communication entre vous et le site affichant le HTTPS est chiffrée, sécurisée. Cela ne veut pas dire que l’espace web visité est fiable, sûr, sécurisé, honnête.

L’e-mail frauduleux propose donc une première adresse, authredilib[.]com. Une page qui affiche un contrôle « captcha » Google pour s’assurer que le « cliqueur » est bien un humain. Cela permet aussi aux malveillants, d’effacer une partie de l’information collectée par le cerveau de l’internaute. Le pirate lui propose de réfléchir, un petit laps de temps, à autre chose qu’au courriel. Autre raison, les antispams n’y voient que du feu dans ce premier lien. Les outils de cyber sécurité ne le bloquent pas. Cette adresse « captcha » n’ayant rien d’illicite pour les robots anti pourriels, anti hameçonnage …

Une fois la validation effectuée par l’internaute, la page captcha l’oriente automatiquement vers l’adresse https://verifauto-secu[.]fr.

La page captcha trouve dans cette redirection une troisième fonction. En cas de fermeture de la page pirate collectrice des données par l’hébergeur, les autorités, … le pirate remplace cette adresse par un autre url. Gain de temps et efficacité pour le courriel malveillant qui n’a pas besoin d’être modifié à chaque diffusion !

Le piège s’affiche enfin, du moins pour celui qui sera le lire. L’url propose trois mots clés efficace. Ici aussi, le cerveau analysera en quelques micro secondes les mots : Verif ; Auto et Secu. Le cerveau est un feignant. Il a peu d’énergie pour l’ensemble des actions qu’il doit mener. Il économise donc cette énergie.

Lire rapidement, cliquer rapidement, … de la feignantise 🙂 Ce qui n’est plus votre cas, normalement !

Les pages usurpatrices réclament données personnelles (Identités, adresse postale, téléphone) et privées (données bancaires). 92 lecteurs de ZATAZ ont  reçu ce courriel.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme commandant réserviste Cyberdéfense Hauts-de-France. Ce blog est personnel. En savoir plus : https://www.damienbancal.fr
  1. Jean-Marie Lambert Reply

    Bonjour Monsieur Bancal
    Question:est il possible de trouver une personne à partir d’une adresse E.mail ?…
    Merci pour votre éventuelle réponse.
    Bien à vous

    • Damien Bancal Reply

      Bonjour,
      Je répondrai comme un Normand ou un Québécois 🙂 🙂 Oui et Non. Oui, car le courriel laisse beaucoup de traces et d’éléments techniques pouvant permettre de remonter à certaines données (avec l’aide, par exemple, du provider, …) et non, dans la mesure ou un courriel et sa structure informatique peuvent être usurpés, volés, détournés.
      Cordialement

  2. Un lecteur Reply

    Bonjour,

    Merci pour vos articles et tout ce que vous faites, c’est top !

    Je me demandais si quand vous faites des articles sur des sites de phishing vous signalez ces sites aux services compétents ?

    Par exemple, Signal Spam, Phishing initiative, l’hebergeur du site en question etc…

    Cordialement,

    • Damien Bancal Reply

      Bonjour,
      Nous alertons sur les réseaux sociaux et, quand cela est possible, le webmaster d’un site infiltré.
      Les outils que vous citez, le temps qu’ils agissent (procédure, …) il est souvent trop tard. C’est dans les premières minutes qu’il faut agir. Les pirates récoltant le maximum de données aux lancement de leur escroquerie.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.