Phishing : sur la messagerie Signal, un faux Amazon fait « gagner » des iPhone 12
Signal, victime de son succès ?
Cet engouement n'a pas échappé aux cybercriminels. Ils le savent : plus un service est utilisé, plus il permet de toucher un grand nombre de cibles. Résultat, dès ce mois de février 2021, une campagne de phishing circule sur l'application de messagerie.
https://twitter.com/KarlPineau/status/1361651239109480449
« Votre abonnement à Amazon a été récompensé. Un iPhone 12 Pro vous est réservé. Réclamez-le ici : https://brandschix[.]space/qOiO5 », avance le message, ici tweeté par un utilisateur de Twitter, Karl Pineau. L'expéditeur du message se présente comme Amazon, et a pris comme photo de profil le logo de l'entreprise. Un numéro vietnamien (avec l'indicateur +84) figure à côté du nom.
Attention aux préjugés techniques
Vous l'aurez remarqué, ce phishing n'est pas très convaincant. Il tire sur des ficelles grossières, des incohérences qui peuvent être détectées dès le message initial :
Amazon ne communique jamais sur Signal. La société envoie la majorité de ses messages par email, et peut envoyer des SMS relatifs aux livraisons.
Le lien est particulièrement louche, puisque son nom de domaine n'a aucun rapport avec Amazon.
L'arnaque à l'iPhone offert est un grand classique des campagnes de phishing : la plupart des utilisateurs savent que ce genre de concours n'existe pas. Reste que si ce type de campagne ne disparaît pas, c'est parce que certains utilisateurs continuent de tomber dans le piège.
Inversement, de faux préjugés sur la cybersécurité pourraient pousser certaines personnes à ne pas se méfier du message :
Préjugé 1 : Signal est réputé pour son niveau de « sécurité », donc un message envoyé sur l'app est forcément sûr. Non, car Signal ne fait que protéger les communications entre ses utilisateurs avec son chiffrement de bout en bout. Si une personne (par exemple un hacker, ou la police) intercepte la communication, elle ne parviendra pas à en déchiffrer le contenu. En revanche, aucune limite technique n'empêche d'envoyer un lien malveillant par message, qui plus est un lien vers un site web.
Préjugé 2 : le lien contient le préfixe « https:// », cela signifie que le site est validé en termes de sécurité et que je peux y aller sans prendre de risque. Non, pour deux raisons. D'abord, un certificat HTTPS est relativement facile à se procurer, et il ne fait que garantir, en théorie, que le cheminement des données envoyées par l'utilisateur est correctement protégé. En revanche, il ne promet rien sur l'intégrité de la personne qui recevra ces données. Ensuite, ce site en HTTPS peut n'être qu'un relai dans le schéma de redirection des malfaiteurs. D'ailleurs, lorsque nous cliquons sur le lien, nous sommes renvoyés vers un autre site, « stiedemannboyer[.]icu ».
Si le point de départ des malfrats n'est pas très convaincant, son déroulé, en revanche, l'est. Pour vous éviter de le faire, nous avons cliqué pour aller jusqu'au bout de l'arnaque.
1 minute 30 pour ne pas rater une opportunité en or !
Le premier clic nous amène sur une fausse page Amazon. « Félicitations ! », nous accueille-t-elle gaiement. On nous explique (dans un français correct) pourquoi nous sommes là : nous aurions été choisis au hasard parmi 10 utilisateurs de notre ville, le mercredi 17 février. À la clé : une chance de remporter un « prix fantastique : Apple iPhone 12 Pro ! »
Nous serions donc particulièrement chanceux. En revanche, nous n'avons « qu' 1 minutes and 30 seconds » (sic) pour participer. Ce minuteur, écrit en rouge, déroule : 29, 28, 27... Vite, nous devons nous dépêcher.
Sous le texte, de faux commentaires Facebook de pseudovainqueurs promeuvent le concours. Un certain Maxime Lyon, liké par 36 personnes, écrit : « Je pensais que c'était une blague, mais mon Apple iPhone 12 Pro est arrivé ce matin ».
Nous nous précipitons donc pour répondre dans le temps imparti à « l'enquête » proposée par la page, un étonnant formulaire de 4 questions. Nous indiquons notre genre, notre tranche d'âge, le nombre de membres de notre famille, et si nous avons des produits Apple chez nous. Les réponses à ces questions ont une faible valeur pour les malfrats, et il est donc étonnant qu'elles soient posées en premier.
« Il n'y a pas d'enquêtes précédentes à partir de votre adresse IP », nous indique la page. Et puisqu'il reste soi-disant des prix disponibles, nous obtenons une chance de gagner le prétendu gros lot. La nouvelle page présente 9 icônes de boîtes cadeaux, parmi lesquelles nous devons choisir. Nous cliquons sur la première en partant du haut : une animation d'ouverture se déclenche et... raté, elle est vide. Heureusement, le site nous offre une seconde chance ! Nous ouvrons cette fois celle du milieu. Bingo ! Un iPhone 12 en sort. Vous vous en doutez, nous avons refait ce mini-jeu plusieurs fois, et à chaque fois, la deuxième tentative révèle le gain d'un iPhone.
Un message nous explique la suite des règles : nous allons être redirigés chez un « redistributeur agréé », puis nous devrons donner notre adresse et payer 2€ de frais de port. Et c'est tout : l'iPhone sera livré 5 à 7 jours plus tard.
Ce schéma d'arnaque reprend deux des ficelles les plus utilisées du phishing :
Le sentiment d'urgence (1 minute 30 pour répondre à « l'enquête »), qui a pour objectif de précipiter la décision de la cible. Moins une personne aura le temps de repérer les incohérences de la page (orthographe, charte graphique, situation, URL...), moins elle sera susceptible de déceler la supercherie et de l'éviter.
Le « trop beau pour être vrai ». Les malfrats vous présentent une occasion immanquable. Si vous ne la saisissez pas, vous pourriez le regretter toute votre vie. Oui, c'est louche, oui, l'offre se révèlera peut-être fausse... mais faut-il prendre le risque de la rater si elle est vraie ? Voici comment certaines victimes se laissent tenter et entrent dans l'engrenage.
Donner ses informations bancaires, encore et encore
Après avoir « gagné » l'iPhone 12 Pro, nous sommes redirigés vers le site chooseandget[.]com, une autre copie d'Amazon, où nous devons effectuer le paiement de 1,95€ qui nous sépare de notre précieux smartphone.
Le piège des malfrats se referme enfin : un formulaire nous demande dans un premier temps notre nom, prénom, email et numéro de téléphone. Autant d'informations qui, cumulées, pourront se revendre. Puis, on nous demande nos informations de carte bancaire, afin de valider la transaction. Là encore, ces données pourront s'échanger ou être directement exploitées par les malfaiteurs.
Une fois le formulaire rempli, un message d'erreur s'affiche. Nous sommes redirigés vers un autre site, copie presque parfaite du précédent, qui nous demande de remplir un formulaire similaire. Nous nous exécutons, pour ne pas passer à côté de l'opportunité de remporter le smartphone. À nouveau, un message d'erreur s'affiche et nous sommes renvoyés vers un troisième site, qui demande les mêmes informations... Nous remplissons encore une fois un formulaire, et encore une fois, nous sommes expulsés vers une autre copie d'Amazon. Le cercle paraît sans fin : nous sommes incités à donner encore et encore nos informations bancaires. Ces pages sont probablement contrôlées par le même acteur, qui essaie d'éviter les mécanismes de détection. Et si une page tombe, l’autre prendra le relai.
Que faire si j'ai mordu au phishing ?
Le phishing n'aura de conséquence que si vous avez rempli et envoyé le dernier formulaire. Si vous avez juste cliqué sur le lien puis avez fermé la page, vous ne risquez rien. De même si vous avez répondu aux questions de « l'enquête » vous n'avez pas de raison de vous inquiéter.
Si vous avez communiqué vos données personnelles, pas de panique. En revanche, vous devrez redoubler de vigilance, car vous pourriez être la cible d'autres phishings. Les malfrats savent que vous avez mordu à un phishing une fois, et pensent qu’ils pourront vous piéger à nouveau en se jouant de votre crédulité. Prouvez-leur le contraire : pas besoin de compétence technique, si vous suivez ces trois conseils accessibles à tout le monde, vous éviterez la très large majorité des phishings.
Si vous avez donné vos coordonnées bancaires, faites opposition sur votre carte bancaire sans attendre. La majorité des banques disposent d'une ligne téléphonique dédiée, ou un opérateur effectuera immédiatement le blocage.