Découverte d’une cyber attaque massive aux couleurs d’entreprises Françaises

Assurance maladie, Banque Populaire, Caisse d’Épargne, Netflix, … ZATAZ découvre une cyber attaque massive qui se joue à une lettre.

Typo squatting, voilà le mot à retenir dans cette affaire. La semaine dernière, dans la ZATAZ Emission sur Twitch, je vous expliquais la probable apparition, dans les jours qui devaient suivre, d’une cyber attaque aux couleurs de l’Assurance Maladie, l’entité santé et sociale française. Quelques jours plus tard, le 9 juin 2022, ma découverte se confirmait avec un envoie massif de SMS, par un pirate informatique inconnu, à destination de centaines de milliers de français. Derrière ce phishing qui pourrait semble classique, une cyber attaque massive à l’encontre des hexagonaux.

[ #BreakingNews #FIC2022 ]

Non l'Assurance Maladie @Assur_Maladie ne vous envoie pas de message ce matin. Derrière le lien, une arnaque ! L'URL est malheureusement très efficace.#news @zataz #actualite #fic #cybersecurite @FIC_eu pic.twitter.com/wkPjvRoIXc

— Damien Bancal "o/" (@Damien_Bancal) June 9, 2022

Le ph1sh1ng qui se joue de l’alphabet

Ce pirate informatique a lancé sa malveillance informatique de Russie. SMS et sites web usurpateurs sont installés REG.RU. Attention, ce n’est pas parce qu’il écrit .RU que le pirate est un coureur local, planqué à Moscou, et dont le lien débute à Hong-Kong, chez Chang Way Technologies Co. Limited, et que la création des URL datent, pour certaines de 2019, via Red Bytes LLC basée à Saint Petersburg. Bref, autant dire que le pirate a de la suite dans les idées, du temps à revendre et des moyens à mettre sur la table pour voler des informations personnelles.

Son SMS est propre, efficace, rapide : « Assurance Maladie: Renouvellement obligatoire de votre Carte Vitale à effectuer avant le 10/06/2022. Rendez-vous immédiatement sur : assurance-maladie[.]com« . Jusqu’ici, rien de particulier. Quand vous sélectionner, sans cliquer, sur l’url proposé, une page d’erreur. Seulement, le format et le support exploité, les smartphones, permettent bien des manipulations. Quand vous cliquez sur l’adresse web présente dans le message, redirection vers la page usurpatrice. Sur téléphone portable cela passe comme une lettre à la poste, en douceur, sans faire apparaitre la moindre trace de malversation. Autant dire que 99% des gens pourront tomber dans le piège. D’autant plus que le/la internaute arrivera sur une page sans faute, aux couleurs, logo et url ressemblant comme deux goutes d’eau à l’assurance maladie : [ameli]cartes-vitale.com.

[ #BreakingNews #FIC2022 ]

Non l'Assurance Maladie ne vous envoie pas de SMS ce matin. Derrière le lien, une arnaque assurance-maiadie[.]com#news @zataz #actualite #fic #cybersecurite pic.twitter.com/67YX1Jv3hI

— Damien Bancal "o/" (@Damien_Bancal) June 8, 2022

Un piratage en finesse !

Le pirate a joué avec les lettres de l’alphabet et la possibilité de manipuler l’information s’affichant dans les écrans des téléphones de ses futures victimes. Dans le téléphone apparait bien « Assurance Maladie: Renouvellement obligatoire de votre Carte Vitale à effectuer avant le 10/06/2022. Rendez-vous immédiatement sur : assurance-maladie[.]com« 

Sauf qu’en copiant le texte dans un traitement de texte classique, le message est apparu de la sorte : « Assurance MaIadie: RenouveIIement obligatoire de votre Carte VitaIe à effectuer avant Ie 10/06/2022. Rendez-vous immédiatement sur: assurance-maIadie[.]com » Vous ne rêvez pas ! La lettre « L » de Maladie, Renouvellement, Vitale, ne sont pas des l mais bien des i majuscule. Dans les téléphones portables, la lettre I majuscule se lit comme un l minuscule. Abracadabra le tour est joué.

Plus malin encore, le premier URL « assurance-maIadie[.]com » n’est qu’une simple redirection. Elle route l’internaute, future potentielle victime, vers la page usurpatrice cartes-vitale[.]com.

Les outils de « cybersécurité », n’y voient que du feu, d’autant que le voyou a créé des sous domaines. Bilan, cartes-vitale[.]com semble inoffensif quand vous allez le visiter. Ce qui n’est plus le cas de [ameli].cartes-vitale[.]com, l’espace usurpateur. ZATAZ a repéré 16 faux URL de cet acabit visant l’Assurance Maladie française : ameli-assurance-cartevitale[.]fr, etc.

[ #BreakingNews #FIC2022 ]

Depuis 10 jours ce #phishing bat la campagne française 3.0.

Il est "beau" ; change d'url comme de chemise.

Alertez vos proches clients. Via smartphone il est visuellement très efficace, malheureusement.#FIC #cybersecurite #news@zataz #actualite pic.twitter.com/GPelmEsUoj

— Damien Bancal "o/" (@Damien_Bancal) June 7, 2022

Un hacker malveillant qui a de la suite dans les idées

Le black hat a des moyens, du temps et de la suite dans les idées. Il ne s’est pas contenté d’AMELI. Il s’est organisé pour viser une dizaine d’entreprises officiant sur le territoire hexagonal. Comme vous pouvez le voir dans mon tableau, ci-dessous, et comme je vous l’ai montré dans la ZATAZ Emission Twitch de ce 12 juin, le pirate a lancé des cyber attaques aux couleurs de la Banque Populaire, Caisse d’Epargne, Netflix, FNAC, …

Une motivation qui peut s’expliquer par la recherche massive de données et d’un besoin important de liquidité pour des pirates qui souffrent, aussi, du conflit entre la Russie et l’Ukraine. A noter que le Service Veille ZATAZ est aussi capable de vous alerter (entreprise et/ou particulier) de votre présence, ou non, dans ce type de cybermalveillance !