Des groupes de phishing basés en Chine, accusés d'envoyer des SMS frauduleux incessants concernant un colis supposé capricieux ou un péage impayé, font la promotion d'une nouvelle offre, juste à temps pour la période des achats des fêtes : des kits de phishing pour la création massive de sites de commerce électronique faux mais convaincants qui convertissent les données de carte de paiement des clients en portefeuilles mobiles Apple et Google. Les experts affirment que ces mêmes groupes de phishing utilisent désormais également des leurres SMS promettant des remboursements d’impôts non réclamés et des points de récompense mobiles.
Au cours de la semaine dernière, des milliers de noms de domaine ont été enregistrés pour des sites Web frauduleux prétendant proposer T-Mobile aux clients la possibilité de réclamer un grand nombre de points de récompense. Les domaines de phishing sont promus via des messages frauduleux envoyés via le service iMessage d'Apple ou le service de messagerie RCS fonctionnellement équivalent intégré aux téléphones Google.
Un message instantané usurpant T-Mobile indique que le destinataire est éligible pour réclamer des milliers de points de récompense.
Le service de numérisation de sites Web. urlscan.io montre que des milliers de ces domaines de phishing ont été déployés rien qu'au cours des derniers jours. Les sites Web de phishing ne se chargeront que si le destinataire visite avec un appareil mobile et demande le nom, l'adresse, le numéro de téléphone et les détails de la carte de paiement du visiteur pour réclamer des points.
Un site Web de phishing usurpant T-Mobile a été enregistré cette semaine.
Si les détails de la carte sont envoyés, le site demandera à l'utilisateur de partager un code unique envoyé par SMS depuis son institution financière. En réalité, la banque envoie le code parce que les escrocs viennent d'essayer d'enregistrer les détails de la carte de phishing de la victime sur un portefeuille mobile Apple ou Google. Si la victime fournit également ce code à usage unique, les phishers peuvent associer la carte de la victime à un appareil mobile qu'elle contrôle physiquement.
La décomposition de ces domaines de phishing T-Mobile sur urlscan.io révèle une arnaque similaire AT&T clients:
Un site Web de phishing ou « smishing » par SMS ciblant les utilisateurs d'AT&T.
Ford Merrill Il travaille dans la recherche sur la sécurité chez SecAlliance, une société du groupe de sécurité du CSIS. Merrill a déclaré que plusieurs groupes cybercriminels basés en Chine qui vendent des plateformes de phishing en tant que service utilisent le leurre mobile depuis un certain temps, mais que l'arnaque n'a ciblé que récemment les consommateurs aux États-Unis.
“Ces programmes d'échange de points ne sont pas très populaires aux États-Unis, mais ils le sont depuis un certain temps déjà dans d'autres régions comme l'UE et l'Asie”, a déclaré Merrill.
Un examen d'autres domaines signalés par urlscan.io comme étant liés à ce syndicat chinois de phishing par SMS montre qu'ils usurpent également les autorités fiscales des États américains, en disant aux destinataires qu'ils ont un remboursement d'impôt non réclamé. Encore une fois, l'objectif est d'usurper les informations de carte de paiement et le code à usage unique de l'utilisateur.
Un message texte frauduleux adressé au bureau des impôts et des recettes du district de Columbia.
AVERTISSEMENT EMPTOR
De nombreux domaines de phishing par SMS ou « smishing » sont rapidement signalés par les fabricants de navigateurs comme malveillants. Mais Merrill a déclaré qu'un domaine de croissance en plein essor pour ces kits de phishing – les fausses boutiques de commerce électronique – peut être beaucoup plus difficile à détecter car ils n'attirent pas l'attention en envoyant du spam à tout le monde.
Merrill a déclaré que les mêmes kits de phishing chinois utilisés pour détruire les escroqueries aux messages de transfert de colis sont équipés de modules qui facilitent le déploiement rapide d'une flotte de magasins de commerce électronique faux mais convaincants. Ces faux magasins font généralement de la publicité sur Google et Facebooket les consommateurs finissent souvent par rechercher en ligne des offres de produits spécifiques.
Capture d'écran traduite automatiquement d'une annonce d'un groupe de phishing basé en Chine faisant la promotion de ses faux modèles de boutique de commerce électronique.
Dans ces fausses boutiques de commerce électronique, le client fournit sa carte de paiement et ses informations personnelles dans le cadre du processus de paiement normal, qui se termine ensuite par une demande de code à usage unique envoyée par son institution financière. Le faux site commercial prétend que le code est demandé par la banque de l'utilisateur pour vérifier la transaction, mais qu'il est envoyé à l'utilisateur car les fraudeurs tentent immédiatement d'enregistrer les détails de la carte fournis dans un portefeuille mobile.
Selon Merrill, ce n'est que pendant le processus de paiement que ces faux magasins obtiennent le code malveillant qui les expose comme frauduleux, ce qui tend à rendre difficile la localisation de ces magasins simplement par une analyse massive du Web. De plus, la plupart des clients qui paient des produits via ces sites ne se rendent compte qu'ils ont été victimes d'une arnaque que des semaines plus tard, lorsque l'article acheté n'arrive pas.
“Les faux sites de commerce électronique sont difficiles à détecter car beaucoup d'entre eux peuvent passer inaperçus”, a déclaré Merrill. “Ils peuvent passer des mois sans fermer, ils sont difficiles à découvrir et ils ne sont généralement pas détectés par les outils de navigation sécurisés.”
Heureusement, signaler ces sites Web et leurres de phishing par SMS est l’un des moyens les plus rapides de les identifier et de les arrêter correctement. Raymond Dijkxhoorn est le PDG et membre fondateur de SURBL, une liste de blocage largement utilisée qui signale les domaines et les adresses IP connus pour être utilisés dans la distribution de spam, de phishing et de logiciels malveillants. SURBL a créé un site Web appelé smishreport.com qui demande aux utilisateurs de transmettre une capture d'écran de tout message de smish reçu.
“Ouais [a domain is] non répertorié, nous pouvons trouver et ajouter le nouveau modèle et supprimer le reste » des domaines correspondants, Dijkxhoorn adage. “Prenez simplement une capture d'écran et téléchargez-la. L'outil fait le reste.”
Site de signalement de phishing par SMS smishreport.com.
Merrill a déclaré que les dernières semaines de l'année civile voient généralement une forte augmentation des smishing, en particulier des systèmes de transfert de colis qui usurpent les informations. Service postal américain ou des compagnies maritimes commerciales.
« À chaque période de fêtes, on assiste à une explosion des activités de smishing », a-t-il déclaré. “Tout le monde est plus pressé, achète frénétiquement en ligne, prête moins d'attention qu'il ne le devrait et a simplement un meilleur état d'esprit à l'idée d'être victime de phishing.”
ACHETEZ EN LIGNE COMME UN PROFESSIONNEL DE LA SÉCURITÉ
Comme nous pouvons le constater, adopter une stratégie d’achat consistant simplement à acheter auprès du marchand en ligne proposant les prix annoncés les plus bas peut s’apparenter à jouer à la roulette russe avec son portefeuille. Même les personnes qui achètent principalement dans des magasins en ligne réputés peuvent se faire arnaquer si elles se méfient des offres trop belles pour être vraies (pensez aux vendeurs tiers sur ces plateformes).
Si vous ne savez pas grand-chose sur le marchand en ligne qui propose l'article que vous souhaitez acheter, prenez quelques minutes pour rechercher sa réputation. Si vous achetez dans une nouvelle boutique en ligne, le risque d’être victime d’une arnaque augmente considérablement. Comment connaître la durée de vie d’un site qui vend cet appareil indispensable au prix le plus bas ? Un moyen simple de se faire une idée rapide consiste à effectuer une recherche WHOIS de base sur le nom de domaine du site. Plus la date de « création » du site est récente, plus il est probable qu’il s’agisse d’un magasin fantôme.
Si vous recevez un message vous avertissant d'un problème avec une commande ou une expédition, visitez directement le site de commerce électronique ou d'expédition et évitez de cliquer sur les liens ou les pièces jointes, en particulier les missives avertissant de certaines conséquences désastreuses, à moins que vous n'agissiez rapidement. Les phisheurs et les fournisseurs de logiciels malveillants profitent souvent d’un certain type d’urgence pour créer une fausse alerte qui amène souvent les destinataires à baisser temporairement leur garde.
Mais ce ne sont pas seulement les escrocs qui peuvent gâcher vos achats des Fêtes : bien souvent, les articles annoncés avec des remises plus importantes que les autres magasins en ligne compensent en facturant beaucoup plus que d'habitude les frais d'expédition et de manutention.
Faites donc attention à ce que vous acceptez : assurez-vous de savoir combien de temps il faudra pour que l'article soit expédié et que vous comprenez les politiques de retour du magasin. Gardez également un œil sur les suppléments cachés et veillez à cliquer joyeusement sur « OK » pendant le processus de paiement.
Le plus important est de garder un œil sur vos relevés mensuels. Si j'étais un escroc, j'attendrais certainement les vacances pour effectuer une série de débits non autorisés sur des cartes volées, afin que les faux achats soient enterrés au milieu d'une avalanche d'autres transactions légitimes. C'est pourquoi il est essentiel d'examiner attentivement votre facture de carte de crédit et de contester rapidement tout débit que vous n'avez pas autorisé.