C’est la tendance de l’été 2020 chez les cybermalfaiteurs : l’arnaque au faux remboursement lié à la Covid-19. La semaine dernière, ils visaient les clients de SFR. Cette semaine, ils s’intéressent aux comptes Bouygues Telecom.
Les pirates envoient par vagues régulières des SMS de phishing, en tirant sur la ficelle de l’argent facile : « Cher client, face à la pandémie de COVID-19, nous avons décidé de rembourser vos dernières consommations. Pour bénéficier, connectez sur : https://t[.]co/mvvxoDQoCg ».
Le message de phishing n’est pas particulièrement bien fait, mais il n’en reste pas moins dangereux. // Source : Twitter, @cyril_bourreau
Vous avez vu qu’il manquait deux mots dans le message ? Pas moi, j’étais trop occupé à m’imaginer avec quelques dizaines d’euros en plus sur mon compte bancaire.
Un clic, et me voilà sur une fausse page de connexion à mon compte Bouygues Telecom. Je rentre mes identifiants, je clique une nouvelle fois, et c’est bon, les malfaiteurs ont réussi leur coup. Ils ont obtenu mes identifiants — heureusement qu’ils étaient faux.
Qu’est-ce qu’un malfaiteur peut faire avec les identifiants de mon compte opérateur?
Les opérateurs de cette campagne d’hameçonnage cherchent à obtenir l’identifiant (une adresse email ou un numéro de téléphone) et le mot de passe de compte Bouygues Telecom. Une fois obtenus, les pirates vont pouvoir exploiter ces informations à leur propre compte ou les revendre par lots sur des forums dédiés.
Sur la page d’accueil du compte Bouygues se trouve une mine d’information // Source : Capture d’écran Numerama
Si ces deux informations ont autant de valeur, c’est parce que les comptes opérateur sont de véritables trésors de données pour les malfaiteurs. L’espace Bouygues Telecom affiche le prénom, le nom, le numéro de téléphone (fixe, mobile ou les deux), l’adresse, et le nom de la banque de l’utilisateur. Il offre aussi des détails sur les contrats de box ou de forfait mobile auxquels il a souscrit. Et pour compléter le profil, l’opérateur propose même à ses clients d’ajouter leurs « centres d’intérêt » !
Les pirates ont donc de quoi construire un portrait-robot assez détaillé de leur victime. Ils pourraient même se servir de ces informations pour affiner le profil, en trouvant d’autres précisions sur le web.
Vos factures sont des justificatifs de domicile
Les malfaiteurs peuvent ensuite exploiter ces informations pour lancer un phishing personnalisé. Leur message serait particulièrement convaincant, car il serait nourri par de nombreuses vraies données. L’utilisateur aurait plus confiance dans la véracité du message, et sera plus susceptible de télécharger une pièce jointe malveillante, puisque l’email paraitrait légitime. C’est ainsi que se referme le piège : et cette fois, le malfaiteur pourrait armer son phishing d’un malware capable de voler des données ou de chiffrer l’ordinateur de sa cible.
Et ce n’est pas tout : depuis l’espace client, les malfaiteurs peuvent télécharger vos factures. Un détail anodin ? Pas vraiment, puisque les factures de téléphonie sont acceptées par plusieurs services comme des justificatifs de domicile. Obtenir ce précieux document est loin d’être suffisant pour vous voler votre identité en ligne, mais il pourrait avoir une grande utilité pour les malfaiteurs.
Un raccourcisseur de lien pour dissimuler le site malveillant
Les pirates utilisent le raccourcisseur de liens de Twitter, « t.co » pour cacher l’adresse d’un des sites sur lequel ils hébergent le faux formulaire. Des sites, les malfaiteurs en ont toute une collection, qui compte notamment bouyguestelecome.site et bouygstelecome.icu.
Quelqu’un d’averti pourra rapidement déceler le phishing, grâce aux erreurs d’orthographe, simplement en inspectant le lien (il suffit de maintenir son doigt appuyé dessus). Mais le subterfuge est suffisant pour piéger des personnes moins éduquées au numérique.
L’imitation des malfaiteurs n’est pas réussie. À gauche, la vraie interface de connexion, à droite, celle du phishing. // Source : Numerama
Sur son site, Twitter explique que « l’utilisation d’un raccourcisseur de liens protège contre les attaques de hameçonnage ». Quand il raccourcit un lien, le service « vérifie qu’il ne figure pas dans une liste de sites potentiellement dangereux ». Mais cette liste ne peut être exhaustive, d’autant plus que le réseau social ne propose pas d’outil de signalement des liens. Il permet de signaler des tweets, de signaler des liens catégorisés à tort comme malveillants, mais pas d’avertir au sujet de liens malveillants.
Une fois que la victime a cliqué sur le lien, les malfaiteurs ne s’éternisent pas : ils demandent immédiatement les identifiants, puis affichent un message d’erreur. Ainsi, même si les victimes ont rentré leurs vrais identifiants, elles penseront que la connexion n’a pas fonctionné.
Que faire si j’ai été piégé(e) ?
- Si vous avez encore accès à votre compte, changez vos identifiants. Si vous n’avez plus accès, contactez Bouygues Telecom le plus rapidement possible.
- Votre mot de passe est désormais connu des malfaiteurs. Si vous utilisez un mot de passe similaire ou proche pour d’autres services, changez-le sur chacun d’entre eux.
- Redoublez de vigilance : vous recevrez certainement d’autres phishing, qui afficheront peut-être beaucoup d’information sur vous. Cette fois-ci, il vous faudra les identifier avant de cliquer.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
