Les cybercriminels ciblent les acheteurs du Black Friday avec une attaque par phishing
Scrooge semble être au travail avant que cette saison des fêtes ne commence officiellement. Une semaine avant le début officiel du Black Friday, faire des emplettes pour ces offres est devenu dangereux. Les cybercriminels ont lancé une campagne de phishing avec de faux sites, conçus pour voler les informations des acheteurs du Black Friday.
Campagne de phishing du Black Friday
Dès début octobre, des analystes d’EclecticIQ ont commencé à remarquer une campagne de phishing. Elle semble viser les acheteurs du Black Friday aux États-Unis et en Europe. Les mêmes analystes pensent que des cybercriminels chinois, surnommés SilkSpecter, en sont à l’origine, cherchant à en tirer profit.
SilkSpecter utilise de faux produits à prix réduits dans cette escroquerie de phishing pour attirer les acheteurs du Black Friday et les convaincre de fournir leurs données de titulaire de carte (CHD), leurs données d’authentification sensibles (SAD) et leurs informations personnellement identifiables (PII).
Lorsque les acheteurs entrent leurs informations, les attaquants volent le CHD via le processus de paiement Stripe. Le CHD est envoyé à un serveur contrôlé par SilkSpecter. Google Translate est utilisé pour rendre la langue des sites plus crédible, en l’ajustant pour les emplacements IP des victimes.
Il s’avère que ce n’est pas la première incursion de SilkSpecter dans le domaine des sites e-commerce falsifiés. Ils ont mis en place des campagnes de phishing similaires. Toutes ont été liées à un SaaS chinois que les analystes croient leur permettre de créer rapidement ces sites. La plupart des sites utilisent des domaines se terminant par .top, .hip, .store et .vip.
Bon à savoir : il faut également faire attention à un message “Votre colis ne peut pas être livré”.
Découverte du motif de phishing du Black Friday
Les analystes ont remarqué un motif à travers les faux domaines de phishing du Black Friday, et il a été décidé qu’ils pouvaient presque tous être liés à SilkSpecter. La cybercriminalité elle-même est une menace plus grande que ce que vous pourriez imaginer.
Chaque page incluait l’icône “trusttollsvg” qui la faisait apparaître comme un site de confiance normal. De plus, ces pages avaient toutes un point d’extrémité “homeapi/collect”. Cela alerterait les cyberattaquants lorsqu’une URL était cliquée ou ouverte par une victime, attirée là par une promesse de remise sur le Black Friday.
Divers traqueurs de sites ont été activés dès que quelqu’un atterrissait sur une page de phishing à la recherche d’une offre du Black Friday. Les traqueurs surveillaient l’efficacité de la campagne de phishing alors qu’elle collectait des données PII, CHD et SAD auprès d’acheteurs non méfiants utilisant Stripe. Parmi les infos collectées se trouvaient les adresses IP, la géolocalisation, le type de navigateur et le système d’exploitation.
De plus, les victimes de cette attaque de phishing ont été invitées à fournir leurs numéros de téléphone. On suppose que cette information serait également exploitée. Les numéros de téléphone pourraient ensuite être utilisés pour du phishing vocal ou du phishing par SMS, poussant les victimes à révéler d’autres détails, comme des codes 2FA, des informations d’identification, et éventuellement des identifiants de compte.
On pense que SilkSpecter a propagé les URLs de phishing via des comptes de médias sociaux et leempoisonnement SEO, appâtant les victimes avec des remises pour le Black Friday.
Heureusement, vous n’avez pas à tomber dans le piège de l’attaque de phishing du Black Friday. N’accédez pas à des sites inconnus, peu importe combien les offres semblent prometteuses. Restez sur Amazon et d’autres sites bien connus. Et, comme toujours, restez à l’écoute de Make Tech Easier, car nous publierons certaines des meilleures offres technologiques du Black Friday.
Crédit image : Toutes les images par Canva et Image Playground.
