Des cyber-escrocs hameçonnent le personnel des magasins pour échanger des cartes-cadeaux

Le FBI a publié une notification au secteur privé pour avertir les commerçants que des cybercriminels trompaient le personnel afin d'avoir accès aux générateurs de cartes-cadeaux, causant ainsi des pertes financières.

Depuis janvier 2023, un groupe nommé STORM-0539, également connu sous le nom d'Atlas Lion, a ciblé des magasins de détail à travers les États-Unis en utilisant des techniques d'hameçonnage par e-mail et par SMS pour obtenir l'accès aux services de cartes-cadeaux.

Le groupe se spécialise dans l'accès non autorisé aux comptes des employés et aux systèmes des entreprises.

"Une fois l'accès obtenu, les pirates de STORM-0539 ont utilisé des campagnes d'hameçonnage pour cibler d'autres employés afin d'augmenter l'accès au réseau et de cibler le service des cartes-cadeaux afin de créer des cartes-cadeaux frauduleuses", peut-on lire dans l'avis.

Une opération d'envergure

Les malfaiteurs utilisent un kit d'hameçonnage sophistiqué capable de contourner l'authentification multifactorielle, puis effectuent une reconnaissance du réseau afin d'identifier le processus commercial des cartes-cadeaux et de s'orienter vers les comptes des employés couvrant ce portefeuille spécifique.

Une fois dans le réseau, les attaquants recherchent des mots de passe et des clés SSH (Secure Shell), ainsi que les informations d'identification des employés du service des cartes-cadeaux.

Après avoir obtenu l'accès au département ciblé, le groupe commence à créer de toutes nouvelles cartes-cadeaux en utilisant les comptes d'employés compromis, puis dépense la valeur associée à ces cartes.

"Dans un cas, une entreprise a détecté l'activité frauduleuse de STORM-0539 dans son système et a mis en place des changements pour empêcher la création de cartes cadeaux frauduleuses", selon l'avis. "Les acteurs de STORM-0539 ont poursuivi leurs attaques de smishing (hameçonnage par SMS) et ont regagné l'accès aux systèmes de l'entreprise. Ensuite, les acteurs ont changé de tactique pour localiser les cartes-cadeaux existantes non utilisées et ont modifié les adresses électroniques associées pour les remplacer par des adresses contrôlées par les acteurs de STORM-0539 afin d'échanger les cartes-cadeaux".

Dans la mesure du possible, les pirates utilisent leur accès non autorisé pour s'emparer des données des employés, y compris les noms, les noms d'utilisateur et les numéros de téléphone, "qui pourraient être exploités par les acteurs pour d'autres attaques ou vendus pour un gain financier", prévient l'agence.

L'agence exhorte les détaillants américains à former et à sensibiliser leur personnel aux escroqueries par smishing/phishing, pour savoir comment les identifier et comment les signaler. Les détaillants doivent également exiger une authentification multifactorielle pour le plus grand nombre possible de comptes et d'identifiants de connexion, et utiliser des méthodes d'authentification à l'épreuve du hameçonnage.

L'avis demande également aux détaillants d'appliquer une politique de mot de passe fort, d'adopter le principe du moindre privilège sur l'ensemble du réseau et d'utiliser des solutions anti-virus et anti-malware.

Le cadeau qui ne cesse de s'envoler

Les cartes-cadeaux sont des cibles de choix pour les cybercriminels, comme en témoigne la multitude d'escroqueries autour de la populaire plateforme de jeux Steam.

Les cartes-cadeaux servent également de support lucratif pour les escroqueries à l'assistance technique, où les fraudeurs appellent des victimes au hasard en se faisant passer pour des employés du service d'assistance et en les avertissant que leur ordinateur est infecté par un logiciel malveillant. Les escrocs invitent ensuite les victimes à payer la "suppression du virus" en leur communiquant le code d'une carte à gratter achetée dans un magasin local.

Certains pays s'efforcent de lutter contre ce phénomène. Par exemple, la police d'Echizen à Fukui, au Japon, place des cartes de paiement factices dans les magasins à proximité de la préfecture afin de contrecarrer les escrocs qui s'en prennent aux personnes âgées.

Selon le rapport Bitdefender 2024 Consumer Cybersecurity Assessment, les escroqueries par SMS sont la cybermenace la plus courante à laquelle les gens sont confrontés aujourd'hui. Pourtant, quatre internautes sur cinq effectuent des transactions sensibles sur leur téléphone, tout en ne mettant pas en œuvre des pratiques de cybersécurité adéquates.

Bitdefender Scamio est un service gratuit de détection et de prévention des arnaques pour toute personne possédant un compte Bitdefender. Vous avez des doutes sur un appel téléphonique, un email ou un SMS ? Décrivez simplement la situation à notre chatbot intelligent et laissez-le vous guider vers la sécurité. Vous pouvez partager avec Scamio l'élément exact que vous souhaitez vérifier, comme une capture d'écran, un PDF, un code QR ou un lien. Scamio vous fait savoir en quelques secondes s'il s'agit d'une imposture.