Une nouvelle campagne de phishing attire les clients de SFR avec de faux remboursements. L’objectif : leur voler données personnelles et informations bancaires.

« InfoSFR : Merci de vous rendre sur mafacturesfr[.]fr pour obtenir un remboursement de notre part de 22.90 EUR pour cause des problemes reseaux sur nos lignes. » Voici, lettre pour lettre, le SMS reçu par plusieurs clients de SFR depuis le début du mois d’août 2020.

https://twitter.com/theo_denoyelle/status/1290649474390425602

Il s’agit d’une opération de phishing, grâce à laquelle des pirates espèrent dérober votre nom, prénom, adresse, numéro de téléphone, date de naissance, ainsi que vos informations de carte bancaire. Ils pourront ensuite exploiter ces données eux-mêmes ou les revendre sur des forums de hackers.

Le site « mafacturesfr[.]fr », utilisé dans la version que Cyberguerre a observée, était encore en ligne le 4 août à 18 heures. L’arnaque pourrait également se décliner sous un autre nom de domaine, soyez vigilants.

Image d'erreur

À gauche, le site de phishing. À droite, le vrai site de SFR. // Source : Montage Numerama

Un phishing simple et efficace

Cet hameçonnage est dangereux à cause du nom de domaine que les malfaiteurs parviennent à exploiter. L’URL est courte, en .fr, et prend une orthographe crédible — « ma facture SFR », en attaché. Les quelques fautes de grammaire du SMS initial auraient pu attirer notre méfiance, mais nous les avons ignorés.

Quand nous cliquons sur le lien du SMS de phishing, nous aboutissons à une copie quasi parfaite de la page de connexion à l’espace client de SFR. Certains liens de la page renvoient vers le site officiel de SFR, mais la majorité ne fonctionne pas, ce qui nous rappelle que nous sommes bien sur une page de phishing.

Nous avons rentré un identifiant et un mot de passe au hasard, puis cliqué sur « Me connecter ». C’est alors que les pirates commencent à tirer sur leur hameçon : nous aboutissons sur un formulaire, toujours hébergé sur mafacturesfr[.]fr.

Un petit encart nous informe, cette fois dans un français impeccable : « Suite aux problèmes techniques rencontrés sur nos lignes durant la période de confinement, SFR a mis en place un dispositif d’indemnisation. Nous avons le plaisir de vous annoncer que vous êtes éligible à cette mesure. Pour entamer la procédure de remboursement, merci de remplir les informations nécessaires ci-dessous. »

Image d'erreur

Les malfaiteurs espèrent que leurs victimes vont remplir ce formulaire. // Source : Capture d’écran Numerama

Il nous faut remplir : nom, prénom, numéro de mobile, date de naissance, adresse, code postal, ville, et informations bancaires. Les malfaiteurs sont gourmands. SFR ne demandera jamais ce genre d’informations s’il doit vous rembourser, et ne vous démarchera jamais pour un remboursement par SMS.

La page du formulaire est plutôt bien réalisée, à l’exception de l’encart de bas de page censé rappeler la loi, qui mentionne « Orange Service Clients » au lieu de SFR. Cet oubli des pirates est vraisemblablement le signe que cette campagne de phishing vise aussi Orange, et peut-être d’autres opérateurs.

Une fois toutes les informations remplies, nous sommes redirigés sur la page d’accueil de SFR. Les hackers ont nos informations, et nous ne pouvons plus accéder à mafacturesfr[.]fr : nous sommes à chaque fois redirigés sur le site officiel.

Que faire si j’ai donné mes informations ?

  • Faites opposition sur votre carte bancaire le plus rapidement possible. Votre banque devrait avoir une ligne téléphonique dédiée.
  • Changez le mot de passe sur votre compte SFR, et sur tous les comptes où vous le réutilisez.
  • Redoublez de vigilance : vous êtes identifiés comme une personne qui a mordu à un phishing, et vos informations pourraient circuler sur les réseaux de pirates. Vous devriez donc être la cible d’autres campagnes de phishing, que vous pourrez éviter en prenant certaines précautions.
une comparateur meilleur gestionnaire mdp numerama

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !