Une campagne de phishing par SMS prétexte un remboursement pour vous dérober données personnelles et informations de carte bancaire.

«  Orange : Rcuprez votre remboursement de 22,90e de notre part en vous rendant sur votre espace de facturation en cliquant ici : https://mafactureorange.fr ». Heureusement que les pirates ont oublié les « é » dans ce SMS de phishing qui circulait encore le 11 août. Car en dehors de cette erreur initiale, l’escroquerie s’avère particulièrement bien ficelée, et plus d’une personne pourrait se faire piéger.

Voici le SMS reçu par les cibles du phishing. Ce premier contact est le maillon faible de la chaîne utilisée pour l’escroquerie. // Source : @Odrilow/Twitter

Les malfaiteurs essaient de pousser leurs cibles à entrer leurs informations personnelles (prénom, nom, numéro de téléphone et adresse) puis leurs informations de carte bancaire sur un site aux apparences d’Orange. Mais au lieu d’aller sur les serveurs de l’opérateur, ces données atterriront chez les pirates, qui pourront ensuite les exploiter à leur propre profit ou les revendre sur des forums spécialisés.

Le 4 août, Cyberguerre avait identifié une campagne de phishing similaire au nom de SFR. Les pirates utilisaient le site mafacturesfr[.]fr et prétextaient déjà à un faux remboursement suite à des problèmes techniques durant le confinement. Quelques jours plus tard, une campagne pour voler des comptes Bouygues Telecom exploitait le même scénario. C’est donc sans trop de surprise qu’Orange est désormais visé.

Une copie du site d’Orange presqu’à l’identique

La  première force de ce phishing est de s’appuyer sur un nom de site crédible : un « .fr », qui applique le protocole de sécurité HTTPS, et composé de deux mots logiques « facture » et « Orange ». L’identité utilisée (nom, prénom, adresse) utilisée pour acheter de nom de domaine est la même que celle qui avait servi à acheter « mafacturesfr.fr », ce qui suggère que la même personne a décliné son piège pour les deux opérateurs.

Ensuite, quand nous cliquons sur le lien, nous arrivons sur une page extrêmement bien recopiée sur la page d’identification du site officiel de l’opérateur, orange.fr.

À gauche la page de phishing, à droite, l’espace de connexion officiel d’Orange. Le bas de page du phishing est aussi le même que sur le site officiel. // Source : Caotures d’écran Numerama.

Détail rare pour un phishing, tous les liens de la page fonctionnent comme sur le site d’Orange. La page de phishing renvoie donc vers… le site de l’opérateur. Habituellement, les sites de phishing se contentent d’afficher de faux liens, ou d’attribuer l’URL de la page malveillante à tous les liens. Ici, même le menu déroulant dans le coin de l’écran fonctionne correctement ! De quoi maintenir l’illusion que le site appartient à Orange.

La fausse page se présente sous le nom « espace client ». Juste en dessous, un encart « pourquoi ce remboursement ? » nous explique, dans un français parfait, que « suite aux problèmes techniques rencontrés sur nos lignes durant la période de confinement, Orange a mis en place un dispositif d’indemnisation ».  Par chance, nous sommes éligibles au dispositif, et le faux Orange avance que nous allons récupérer la somme non négligeable de 22,90 euros. Il nous suffit de remplir un formulaire : nom, prénom, date de naissance, adresse, code postal, ville, numéro de téléphone.

Nous cliquons sur « continuer ». Les pirates ont déjà réussi leur coup : ils pourront revendre nos données personnelles. Mais ils veulent encore plus.

Des arnaques par téléphone pour les victimes du phishing ?

Une autre page s’ouvre et nous demande nos coordonnées de carte bancaire afin de « procéder au remboursement directement sur [notre] carte bancaire ».  Jamais un service légitime ne vous demandera vos informations de carte bancaire pour un remboursement. Mais soit, nous nous exécutons — avec un faux numéro.

Une troisième page s’affiche et nous indique « votre remboursement n°3875474 est en cours d’étude. » Les pirates disposent désormais de notre numéro de carte bancaire et peuvent effectuer des transactions en ligne, selon le niveau de protection qu’offre notre banque (enfin, si notre carte bancaire n’était pas fausse).

Les pirates ne s’arrêtent pas là. Ils nous expliquent qu’afin de garantir un niveau de sécurité maximum des transactions, l’entreprise Certissim allait nous contacter par email ou par téléphone. Cette manœuvre ouvre la porte pour une éventuelle arnaque téléphonique, pour laquelle un malfaiteur n’aura qu’à  se présenter comme Certissim.

Après avoir dérobé les données, les pirates vont encore plus loin. // Source : Capture d’écran Numerama.

Sauf qu’un détail cloche : Certissim est un service de détection de la fraude à la carte bancaire qui a bien existé. Mais sa maison mère, Fia-Net, a été rachetée en 2016 par Oney. En conséquence Certissim n’existe plus sous ce nom, et son site renvoie vers celui de Approov-Decision, un service équivalent, propriété de Oney.

Ce détail d’un autre temps dans le phishing suggère que les malfaiteurs ont utilisé un vieux kit pour construire leur arnaque. Au moins, cet anachronisme pourrait faire réaliser à certaines victimes qu’elles se sont tombées dans un piège.

Au bout de plusieurs dizaines de secondes passées sur la page, nous sommes redirigés sur le site officiel d’orange. Une pratique courante chez les pirates, destinés à rassurer les victimes sur les manipulations qu’ils viennent d’effectuer.

Que faire si j’ai donné mes informations ?

  • Si vous avez communiqué vos informations de carte bancaire, commencez par faire opposition. La très grande majorité des banques dispose d’une ligne téléphonique 24h/24 et 7j/7, appelez-là. Chaque minute peut vous sauver quelques centaines d’euros.
  • Si vous avez rempli le premier formulaire, redoublez de vigilance. Vos informations vont probablement circuler sur des forums de hackers, et vous serez étiquetés comme personne ayant mordu à un phishing. Pas de panique cependant : vos données seront exploitées pour faire du phishing. Il vous suffira de redoubler de vigilance face à tout email ou appel suspicieux.

Crédit photo de la une : Wikipedia

À propos d'ExpressVPN

ExpressVPN, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. ExpressVPN ne conserve aucune trace de l'activité des utilisateurs. Son application de VPN, disponible sur ordinateur, mobile et routeur, est l'une des plus avancées du marché.

Plus d’informations sur la solution VPN d'ExpressVPN

Partager sur les réseaux sociaux