Une campagne de phishing se faisant passer pour Swile a touché nombre d’utilisateurs du service de tickets restaurant. L’entreprise déclare que l’affaire n’est pas liée à une fuite de données.

L’affaire se précise. Une campagne de phishing par mail aux couleurs de Swile a touché le 17 novembre 2021 de nombreux utilisateurs du service de tickets restaurant. Le message était intitulé « Information Importante concernant votre compte ». La forme du message est très réaliste, et le style graphique épuré proche de celui de l’entreprise française.

Un mail d’arnaque et un faux site très réalistes

Le mail d’émission de cette arnaque, qui réussissait dans un premier temps à passer le filtre anti-spam de Gmail, est « noreply[at]corpo-swile[.]co », alors que les mails de l’entreprise viennent du domaine « swile.co ». Le corps du faux mail explique que le service doit « à nouveau vérifier votre profil afin d’assurer une meilleure sécurité de votre compte ». Juste en dessous, un bouton « Vérifier mon compte » renvoie à une copie parfaite du site de Swile.

Le site frauduleux était « http://co-swile[.]co/. », alors que le site officiel de Swile est « www.swile.co », une nuance discrète. La copie n’est aujourd’hui plus en ligne. Elle demandait les identifiants de votre compte, qui ne lui auraient toutefois pas permis d’accéder à votre carte déjeuner, mais cela compromet potentiellement vos autres comptes, si votre mot de passe est le même.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

Sur Twitter, l’utilisateur derrière le compte « Ingé vacciné » dont des collègues ont été ciblés par la campagne de phishing explique avoir fouillé les différentes pages web du faux site. « Vu le niveau de la configuration, de la qualité du code et des références dans les fichiers, ça ressemble à des étudiants  », nous indique-t-il. Ce dernier explique également avoir trouvé le fichier qui stockait les données personnelles récoltées par les pirates, et l’avoir transmis à l’entreprise.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

Nous n’avons pas pu fouiller le site nous-mêmes avant sa mise hors ligne, mais Cyberguerre a pu consulter des captures d’écran des fichiers en question. On peut voir que les informations récoltées étaient l’adresse IP, le mail, le mot de passe, et d’autres éléments plus anecdotiques sur la machine utilisée, le navigateur.

Une réaction rapide, mais maladroite

L’entreprise a rapidement réagi à cette campagne dans un mail envoyé à une partie de ses utilisateurs, dont des membres de la rédaction de Numerama : « Une campagne de phishing (aussi appelé « hameçonnage ») est en cours. […] Cette campagne est opérée par un tiers qui se fait passer pour Swile dans le but de collecter des données de connexion. » L’entreprise conseillait également de changer son mot de passe, rappelant qu’une bonne hygiène informatique demander d’utiliser un mot de passe différent pour chacun de vos comptes.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

Mais la campagne de communication de l’entreprise n’a pas été du goût de tout le monde. Son intitulé initial, « Important : votre compte Swile est exposé », rappelle plus une tentative d’arnaque qu’un mail d’avertissement (il a été modifié dans une seconde vague de mails). Le compte Twitter de Swile s’est d’ailleurs emmêlé les pinceaux en confirmant à un internaute que son mail officiel était bien… une campagne phishing. Certains utilisateurs ont même retrouvé cette campagne d’information dans la catégorie spams de leur boite Gmail.

Image d'erreur

Source : Capture écran Numerama

« Pas une fuite de données »

Toutes les victimes qui ont reçu le phishing avec lesquelles Cyberguerre a échangé étaient clientes de Swile, une situation qui questionnait sur un ciblage particulier, et donc une potentielle fuite de données de la société. Interrogée par Cyberguerre, l’entreprise est catégorique et veut rassurer : des vérifications et un contrôle ont été réalisés par les équipes techniques, et « l’origine du phishing n’est pas une fuite de données ». Swile explique également faire son possible pour « désactiver les noms de domaine, les serveurs et les services d’envoi de mail utilisés pour l’attaque ».

Image d'erreur

Swile déclare que la campagne n’est pas liée à une fuite de données // Source : Swile

D’après les éléments que Swile nous a communiqué, moins de 300 personnes seraient tombées dans le piège et les témoignages recueillis par leur service client incluent des personnes qui ont reçu la campagne de phishing sans être clients de l’entreprise. Cela invaliderait la thèse d’une fuite de données ou d’un scraping, c’est-à-dire la récolte d’adresses mails d’une partie des utilisateurs à cause d’un site ou d’une application où ces données seraient accessibles. Cyberguerre n’a toutefois pas pu vérifier directement ces déclarations.

une comparateur meilleur gestionnaire mdp numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !