En novembre dernier, l’équipe d’Avanan (une entreprise Check Point) avait identifié une attaque imitant Amazon. Le système utilisait des vrais liens Amazon, obligeant ainsi l’utilisateur à passer un appel téléphonique pour annuler sa commande. Dernièrement, une campagne d’emailing similaire, a été observée mais cette fois-ci avec Paypal. Comme dans le cas d’Amazon, le seul moyen d’« annuler » la commande est d’appeler un numéro vert.
Tribune Check Point – Depuis avril 2022, les chercheurs d’Avanan ont constaté une recrudescence des attaques usurpant des marques très connues comme PayPal, à l’aide d’une confirmation de commande pour inciter les utilisateurs à appeler un numéro vert. Pendant l’appel, les cybercriminels tentent de voler les informations bancaires. Avanan a analysé la manière dont les pirates exploitent cette double attaque.
Lors de cette attaque, les cybercriminels envoient ce qui ressemble à une confirmation de commande PayPal. Elle notifie à l’utilisateur qu’il a passé une commande au montant élevé.
Lors de ces attaques l’idée n’est pas seulement d’obtenir des informations financières, mais également le numéro de téléphone de l’utilisateur. Cette arnaque est appelée la « collecte de numéros de téléphone ». Au lieu de collecter des identifiants de connexion en ligne, elle permet d’obtenir facilement des numéros de téléphone grâce à la fonction d’identification de l’appelant. Une fois le numéro de téléphone obtenu, ils peuvent mener une série d’attaques, que ce soit par le biais de SMS, d’appels téléphoniques ou de messages WhatsApp. Une seule attaque réussie peut en entraîner des dizaines d’autres.
Le numéro indiqué dans l’e-mail est un numéro basé à Hawaï qui a été associé à des escroqueries par le passé. Lors de l’appel, une personne demande à l’utilisateur son numéro de carte bancaire et le code CVV pour « annuler » la transaction.
Cette technique fonctionne parce qu’il n’y a aucun lien dans le message. Lorsqu’il y a un lien, le système de sécurité des e-mails peut le contrôler pour voir s’il est malveillant ou non. Sans aucun lien, cela devient beaucoup plus difficile.
Les meilleures pratiques : conseils et recommandations
Pour se défendre contre ces attaques, les professionnels de la sécurité peuvent prendre les mesures suivantes :
- Encourager les utilisateurs finaux à regarder l’adresse de l’expéditeur du mail.
- Inciter les utilisateurs à vérifier leur compte PayPal. Ils remarqueront que la commande en question ne figure pas sur leur compte.
- Ne pas ajouter les grandes entreprises aux listes d’autorisation, car elles sont souvent parmi les plus détournées. PayPal est une marque souvent ciblée.
- Décourager les utilisateurs d’appeler des numéros inconnus.