Les auteurs d'un faux message du Crédit Agricole envoient leur sollicitation pratiquement chaque jour. Ils espèrent que leurs cibles finiront par cliquer, afin de leur extorquer les identifiants de leur compte bancaire et ceux de leur carte bleue.

Bertrand* a reçu quatre fois le même phishing en 3 jours. Il s’occupe de filtrer les emails envoyés à la boîte mail du service de chambres d’hôte de ses grands-parents. Mais il n’a jamais vu ce phénomène : ce phishing imitant le Crédit Agricole revient, encore et encore. Pire, la plupart des emails passent au travers des filtres antispam et atterrissent directement dans la boîte de réception de la messagerie wanadoo.fr de ses grands-parents.

Les grands-parents de Bertrand reçoivent en boucle cet email sur leur adresse Wanadoo. // Source : Remerciement à Bertrand

À chaque nouveau message reçu, Bertrand avertit tous les maillons de la chaîne de redirection utilisée par les malfaiteurs, afin qu’ils bloquent le phishing. Mais les auteurs de l’hameçonnage insistent : ils reprennent le même mode opératoire, le même schéma de redirection, la même imitation graphique. Seuls l’adresse d’envoi et les sites utilisés pour les redirections et le vol de données changent.

L’objectif des malfaiteurs est de dérober les identifiants des comptes bancaires de leurs cibles, ainsi que leurs informations de carte bleue.

Heureusement, le phishing tire sur certaines ficelles trop grossières, qui devraient alerter la majorité des cibles. Exemple le plus radical : les grands-parents de Bertrand ne sont même pas clients du Crédit Agricole, les risques qu’ils donnent leurs identifiants sont donc nuls…

Apparemment ces emails ne sont pas les seules manœuvres de phishing en cours. Sur son site officiel, la  banque prévient ses clients : « Suite à une recrudescence de mails frauduleux, soyez vigilants ! Votre banque ne vous demande jamais de communiquer, par mail ou téléphone, vos coordonnées bancaires ( identifiant, mot de passe, n° de carte).  »

Les malfaiteurs utilisent des adresses jetables à la chaîne

L’email de phishing que Cyberguerre a disséqué a pour objet « Nouvelle Réglementation – DSP2 », du nom d’une véritable directive sur les services de paiement, qui vise à en renforcer la sécurité. Au Crédit Agricole, le nom du service de sécurité est  « SécuriPass », et les malfaiteurs ne manquent pas de l’utiliser, en plus de copier la charte graphique de la banque.

L’adresse affichée dans le champs expéditeur, « noreply.ca@espaceclient.fr », paraît suspicieuse. Mais elle contient suffisamment de mots clés habituels — « CA », « espace client », « no-reply » — pour qu’un utilisateur peu concentré passe outre la supercherie. Chaque faux nom utilisé pour les différents emails de la campagne joue de la même manière sur des mots clés.

Wanadoo ne protège pas contre ce phishing

À chaque fois que nous sommes remontés à l’adresse email cachée derrière cet affichage, elle provenait de Get Nada, un service d’adresses email jetables, que les malfaiteurs peuvent générer sans donner d’information.

Reste à savoir pourquoi ces emails ne sont pas filtrés par Wanadoo.fr (un service désormais géré par Orange), alors que les adresses Gmail, Laposte et Outlook bloquent le message, ou l’envoient au moins dans les spams avec un indicateur de danger.

Chaque service d’email définit ses propres critères de tri des messages, et il semble que ce phishing présente un score de confiance suffisant pour Wanadoo.

L’adresse email des grands-parents de Bertrand a déjà fuité 3 fois. Il n’est donc pas étonnant qu’elle fasse partie de fichiers de spams. // Source : Capture d’écran sur Have I Been Pwned

Bertrand ne se s’étonne pas que l’adresse de ses grands-parents soit ciblée par des campagnes de phishing. En la testant sur Have I Been Pwned, il a vu qu’elle faisait partie de 3 fuites de données connues. Plusieurs groupes de cybercriminels ont donc pu l’intégrer à leur fichier de spams à moindre coût, voire gratuitement. Mais il veille sur les emails suspects que reçoivent ses grands-parents.

L’interface de connexion du Crédit Agricole, ou presque

Le contenu de l’email est confus, mais nous comprenons qu’il faut se connecter à notre espace Crédit Agricole pour activer le SécuriPass. Nous cliquons donc sur le gros bouton vert, et nous aboutissons sur un site qui présente une copie de la charte graphique de la banque.

Ou plutôt, nous passons par 4 redirections (3 sur des sites inconnus, 1 sur Twitter) avant d’y aboutir. Ce subterfuge permet aux malfaiteurs d’éviter certains filtres de détection. Ainsi, même si l’adresse finale est identifiée comme malveillante, certaines protections ne parviendront pas à la détecter au-delà d’un certain nombre de redirections.

L’affichage sur téléphone cache les défauts de l’adresse

Selon les versions de l’email, l’URL de la page de phishing est plus ou moins convaincante. L’exemple le mieux fait que nous avons observé était :

portail[.]credit[.]agricole[.]u812744hqw[.]ha004[.]t[.]justns[.]ru

Lorsque nous regardons cet URL sur un ordinateur, il est évident qu’il est frauduleux : l’adresse bien trop longue, la suite de chiffre est plus que louche, et nous pouvons voir qu’il s’agit d’un site russe en « .ru ». Mais sur smartphone, la situation est différente, car l’adresse est coupée après « portail[.]credit[.]agricole ». De quoi maintenir l’illusion face à un utilisateur peu concentré, qui ne penserait pas à regarder l’entièreté de l’URL.

La page nous demande de renseigner un numéro de département, comme c’est le cas sur le site officiel du Crédit Agricole. Puis nous devons remplir notre identifiant à 11 chiffres) et un mot de passe à 6 chiffres grâce au pavé numérique. L’interface n’est qu’une pâle copie de la véritable interface de connexion, mais demande les mêmes informations.

Imitation ratée pour les malfaiteurs. À droite, le phishing, à gauche, la vraie interface de connexion. // Source : Montage Numerama

Si une victime va jusqu’à cette étape, les malfaiteurs ont déjà réussi leur coup : ils ont obtenu les identifiants des comptes bancaires de leurs victimes, et peuvent tenter des virements d’argent frauduleux. Mais ils veulent plus.

Nous voilà prétendument connectés à notre compte, il nous faut désormais activer notre SécuriPass ! Pour y parvenir, les escrocs nous proposent une fausse manoeuvre de confirmation, à l’aide de codes envoyés sur un numéro de téléphone que nous avons renseigné.

Ils ne s’arrêtent pas là, et proposent de «  ré-activer [notre] carte pour les paiements et retraits (guichets) ». Évidemment, ils ont pour cela besoin de toutes nos informations bancaires. Si une victime les communique, ils pourront effectuer des achats ou les revendre à d’autres cybercriminels.

Les auteurs du phishing se montrent gourmands en données : ils veulent aussi vos informations de carte bancaire ! // Source : Montage Numerama

Une fois tous les champs remplis, nous sommes redirigés sur le vrai site du Crédit Agricole. credit-agricole.fr. C’est une procédure habituelle pour les phishings, afin d’attirer le moins de suspicion possible de la part de la victime. Elle peut se dire que la procédure a buggué, et renseigner à nouveau ses informations, cette fois sur le site officiel.

J’ai donné mes informations bancaires, que dois-je faire ?

  • Si vous avez donné vos informations de carte bancaire, bloquez là immédiatement. Il vous suffit d’appeler le 09 69 39 92 91 (numéro non surtaxé), pour entrer en contact avec le service dédié du Crédit Agricole, en ligne 7 jours sur 7 et 24 heures sur 24
  • Si vous avez donné vos informations de connexion à l’espace client, changez votre mot de passe si vous y avez toujours accès. Dans tous les cas, déplacez-vous ou appelez votre banque au plus vite, afin qu’ils réinitialisent le mot de passe si besoin, et qu’ils bloquent toute activité suspecte.
  • Redoublez de vigilance : vous êtes identifiée comme une personne qui a déjà mordu à un hameçonnage, les malfaiteurs vont vouloir vous faire mordre à nouveau.

*Le nom a été modifié

Crédit photo de la une : Crédit Agricole

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux