« Attention, ton compte a été temporairement bloqué. » Si vous avez reçu un mail de Vinted commençant par cette phrase, il est fort probable qu’il ne provienne pas vraiment de l’app, mais de cybercriminels. Une campagne de phishing usurpant l’identité du site de vente en ligne de vêtement d’occasion est actuellement en cours, et les mails sont particulièrement bien réalisés.
Le mail de phishing est, surtout, relativement bien fait. Le texte est rédigé sans faute d’orthographe, et le message qu’il contient est alarmant, afin de faire agir les destinataires du mail dans la précipitation. Enfin, même l’adresse mail est convaincante, chose encore relativement rare pour les phishings. Si vous recevez un mail qui semble venir de Vinted dans les prochains jours, faites donc très attention.
Le phishing est très convaincant.. jusqu’à une certaine étape
Le phishing prétend que notre compte aurait été « temporairement bloqué », suite à « des opérations atypiques ». « Mais ne t’inquiète pas, nous sommes présents pour te guider et t’assister pendant cette période », précise le mail. « Pour débloquer ton compte, il te suffit de mettre à jour tes informations de paiement. Clique simplement sur le bouton ci-dessous, et suis les instructions. » Un bouton dans le corps du mail permet, en effet, d’être redirigé vers la suite de la procédure.
Autre détail important : le mail semble bien avoir été envoyé par « l’équipe Vinted », comme cela s’affiche sur la boite de réception. Il faut cliquer sur l’envoyeur pour avoir plus d’information, et, encore à ce moment-là, le doute plane : le mail a été envoyé avec le nom de domaine « singaporefintech.org », une association qui existe réellement, et dont le nom peut mettre en confiance.
Il ne s’agit cependant pas vraiment d’un mail de l’équipe Vinted, contrairement à ce que l’adresse de diffusion veut faire croire. De même, il n’existe pas de liens entre Vinted, une entreprise lituanienne, et l’organisation Singapore FinTech. Il semblerait néanmoins que le nom de domaine de l’association ait été usurpé pour envoyer le mail, ce qui est alarmant.
Heureusement, lorsqu’on clique sur le bouton, le phishing perd en crédibilité. Le lien, qui est censé nous rédiger vers un faux site ressemblant à Vinted pour voler nos identifiants, ne nous amène que vers une page de connexion Plesk, un site russe de gestion de serveur. Pas de doute possible : il ne s’agit pas de Vinted, et il ne semble d’ailleurs pas possible de vraiment se connecter.
De nombreux phishings Vinted
Même si le phishing n’est pas complet, plusieurs éléments sont tout de même inquiétants. Tout d’abord, le fait que le corps du mail ne comporte pas de faute d’orthographe, et qu’il utilise également le logo de Vinted. Ensemble, ces deux éléments donnent véritablement de la crédibilité au mail, et le texte alarmant peut pousser les internautes à agir dans la précipitation.
Le nom de domaine utilisé pour envoyer le mail est également préoccupant. Singapore FinTech est une véritable organisation, enregistrée dans l’État et regroupant de nombreuses entreprises, ce qui confère une vraie légitimité au phishing. Il n’est pas possible pour l’instant de savoir si c’est bien le vrai nom de domaine de l’organisation qui a été usurpé, ou si les cybercriminels ont seulement créé un nom de domaine proche afin de semer le doute.
Enfin, l’adresse mail à laquelle le phishing a été reçu a bien été utilisée pour créer un compte Vinted. Cela pourrait signifier que le mail n’a pas été envoyé par hasard lors d’une campagne massive de phishing, mais qu’il cible bien les utilisateurs de Vinted. Et si des cybercriminels y parviennent, c’est peut-être parce qu’ils ont pu récupérer des données sur la plateforme. Il n’y a, cependant, jamais eu officiellement de leaks sur Vinted.
Ce n’est pas la première fois que des campagnes de phishing visent Vinted. L’app étant un service de plus en plus populaire dans le monde (on compte 23 millions d’utilisateurs rien qu’en France), il est logique qu’elle attire un grand nombre de cybercriminels, et les mails de ce genre sont monnaie courante. Des modèles d’arnaque « clés en main » étant disponibles sur le marché noir, il est très facile pour des cybercriminels peu expérimentés de lancer leur propre vague de phishing.
Numerama a ainsi pu retrouver des traces de phishings très similaires sur les réseaux sociaux, notamment sur Twitter (maintenant officiellement renommé X par son propriétaire, Elon Musk) dès 2021. Certains prétendaient que les utilisateurs devaient fournir leurs informations bancaires afin « d’éviter le blanchiment d’argent ». Une campagne de phishing incitait les victimes à « confirmer leur identité » pour débloquer leur compte, et une autre leur demandait de signer de nouvelles conditions d’utilisation.
Enfin, en mars 2023, une énorme vague d’arnaques a permis à des hackers de voler d’importantes sommes d’argent à des utilisateurs. Un « piratage élaboré via une demande de changement de coordonnées, par SMS ou appel téléphonique » a visé plusieurs centaines de personnes.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
