Escroqueries par SMS : aperçu des campagnes en cours

Le phishing, ou hameçonnage, par SMS peut ne pas sembler être une grande menace. Après tout, qui utilise encore les SMS de nos jours ? En réalité, le SMS reste un canal de communication vital pour de nombreuses entreprises et même certaines institutions. Les cybercriminels tentent souvent de diffuser leurs campagnes frauduleuses à l'aide de SMS et de messages adaptés à notre époque.

Scam Alert, l'une des nombreuses fonctionnalités disponibles dans Bitdefender Mobile Security pour Android, avertit les utilisateurs lorsqu'ils reçoivent un message contenant des liens suspects qui pourraient tenter de voler des données financières, des informations d'identification et d'autres informations sensibles.

Tous les produits multiplateformes inclus dans Bitdefender Total Security bénéficient des détections de Scam Alert car les informations se diffusent rapidement à l'ensemble de la base d'utilisateurs dès qu'une seule URL est identifiée comme dangereuse.

Les pirates adaptent leurs messages à la région qu'ils ciblent. Dans certains pays, ils pourraient essayer de faire croire aux gens que le message est lié aux prix de l'énergie. Dans d'autres, ils peuvent exploiter le suivi des courriers ou envoyer les utilisateurs vers des sites Web hébergeant des logiciels malveillants. Les messages que les cybercriminels utilisent dans chaque campagne changent en fonction de l'intérêt du public. Par exemple, à l'approche des fêtes de fin d'année, on a assisté à une pléthore de messages avertissant de la prétendue perte de colis.

Les cybercriminels construisent leurs campagnes en sachant que les liens qu'ils fournissent ont de fortes chances d'être détectés, ils modifient donc le libellé du message et les liens dans le but de rester anonymes. Bitdefender a travaillé sur une technologie de recherche en sécurité capable d'identifier et de regrouper des messages qui n'ont apparemment rien à voir les uns avec les autres mais qui font en fait partie de la même campagne des mêmes opérateurs.

Cette technologie est essentielle lorsque les pirates utilisent le paysage sociopolitique pour créer des messages, exploitant la crise énergétique et incitant les gens à cliquer sur des liens malveillants.

Les attaquants profitent de la situation politique et sociale actuelle

Nous avons examiné de près toutes les principales campagnes de phishing par SMS des 30 derniers jours dans le monde que notre télémétrie Scam Alert a pris dans ses filets, y compris dans les premières semaines de décembre. La télémétrie contient de tout, des alarmes sur les factures d'énergie aux colis perdus en passant par les problèmes de compte netflix ou amazon.

Un dénominateur commun que vous remarquerez est les URL utilisées dans les attaques. La plupart d'entre elles ont des mots d'apparence légitime dans l'adresse du lien pour faire croire aux gens qu'ils accèdent à un domaine officiel alors qu'en fait, ils sont contrôlés par des attaquants qui veulent juste voler des informations. De nombreux domaines présentés dans cette recherche ne fonctionnent plus, mais de nouveaux apparaissent chaque jour, c'est pourquoi il est essentiel de les trouver et de les regrouper le plus rapidement possible.

Escroquerie à l'assurance maladie

Les malwares ne sont pas la seule menace en France. Une campagne de phishing active imite le site Web de la sécurité sociale, demandant aux utilisateurs des données personnelles pour recevoir un remboursement ou pour renouveler leur carte vitale expirée. Les autorités ont déjà lancé un avertissement aux utilisateurs et leur ont donné des exemples de messages SMS malveillants.

Exemples d'URL :
• hxxps://ameliservice[.]net
• urlz[.]fr/jqEZ
• etape-ameli[.]fr
• masante-espace[.]com
• expedition-ameli[.]fr
• cut[.]ly/rBOgP1Y
• cut[.]ly/4NRN2Ze
• ameli-infoservice[.]fr
• espace-sante-publique[.]fr
• hxxps://ameli-maladie[.]info
• hxxps://amelifrance[.]site/ameli
• ameli-cpamclient[.]fr
• hxxp://ameli-secure-log[.]com
• hxxps://fr-droits-ameli[.]com
• cut[.]ly/iBnc6Fj
• hxxps://serviceameli[.]info
• hxxps://renouvellementcartevital[.]fr
• hxxps://amelisante[.]org
• hxxp://assurance-client[.]info
• hxxps://ma-cartevitalerenouvellement[.]fr
• assistance-mon-compte.awxcrt[.]com
• hxxps://amelifrance[.]info/ameli[.]php
• hxxp://secu-ameli[.]app
• vitalerenouvellementgv[.]com
• ass-vitale-gv[.]com
• ligne-ameli[.]com
• hxxp://moncompte-sante[.]info
• hxxps://renouvellement-en-ligne[.]fr
• hxxps://assurance-renouvellement-carte[.]fr/login[.]php
• cpam-recouvrement-vital[.]info
• hxxp://assurer-ameli[.]com
• hxxps://ameli[.]fr-renouvellements[.]com
• hxxp://acces-carte-vital[.]info
• redirectionclientsvitale[.]com
• ameli-renouv-espace[.]fr
• hxxp://assures-ameli[.]app
• assurance-maladies-gouv[.]com
• rubrique-clientsvitale[.]com
• sante-carte[.]com
• amelicartevitale2022[.]com
• hxxps://ameli-maladie[.]eu
• hxxps://renouv-assurance-maladie[.]fr
• espaceclient-ameli[.]fr
• service-client-information[.]com
• hxxps://renouvellements-carte[.]fr

Escroquerie au certificat de pollution de l'air

La vignette Crit'Air (certificat de qualité de l'air) est obligatoire pour traverser les zones à faibles émissions en France. Les conducteurs peuvent être amenés à donner leurs données à des sites Web frauduleux via des liens reçus par SMS s'ils n'y prêtent pas attention. Le site officiel indique : "Vous pouvez être sûr que vous êtes sur le site officiel si le logo du ministère est affiché et que l'adresse du site se termine par .gouv[.]fr."

Exemples d'URL :
• hxxps://critair-france[.]org
• hxxps://critair-commande[.]org
• hxxps://critair-france[.]com
• hxxps://gouv-service-air[.]fr
• hxxps://gouv-crit-air[.]com
• hxxps://critair-dispositif[.]fr
• critairpourtous[.]com
• critairpourtous[.]info
• hxxps://critair-vignette-auto[.]fr
• hxxp://crit-airattestaion[.]fr

Escroquerie à la banque (BNP Paribas)

Exemples d'URL :
• hxxps://bnpparibas-cle-digitale[.]com/?id=1
• cledigitale-bnp-paribas[.]fr
• service-cledigitale-bnpparibas[.]fr
• hxxps://bnp-support[.]fr
• mon-compte-bnpparibas[.]fr

Escroquerie au service de vidéo à la demande (Netflix)

Une escroquerie commune à différents services de "streaming" circule en France, les pirates tentant de persuader les victimes de ressaisir les coordonnées de leur carte bancaire sous la menace de désactiver leur compte Netflix ou Disney+.

Exemples d'URL :
• activation-abonnement-netflix[.]com
• hxxps://netflix.portail-connexion[.]com
• hxxps://netflixfacturationsms[.]com
• hxxps://netfiix-aideclient[.]fr
• hxxps://netflix-espaceclient[.]com
• login.nelfiix[.]com
• netflixcompteclient[.]com
• netflixcompteclients[.]com
• hxxp://netflix-forfait[.]fr
• hxxps://netflix[.]infos-help[.]com
• netfiix-securefrdoc[.]com
• netfiix-help[.]com
• netflix[.]com-connexion[.]com
• netflixinfomation[.]com
• activation-abonnement-netflix[.]com
• hxxps://netflix.portail-connexion[.]com
• hxxps://netflixfacturationsms[.]com
• hxxps://netfiix-aideclient[.]fr
• hxxps://netflix-espaceclient[.]com
• login.nelfiix[.]com
• netflixcompteclient[.]com
• netflixcompteclients[.]com
• hxxp://netflix-forfait[.]fr
• hxxps://netflix[.]infos-help[.]com
• netfiix-securefrdoc[.]com
• netfiix-help[.]com
• netflix[.]com-connexion[.]com
• netflixinfomation[.]com
• hxxps://changementinfo[.]com
• hxxps://help-compte[.]click
• facturenetflix[.]com
• hxxps://client-facture[.]com
• hxxps://info-fr[.]click
• hxxps://netflix-paiement[.]com
• hxxps://netfiix.reactivation-espaces[.]fr
• hxxps://netfiix[.]espace-activations[.]fr
• hxxps://netfiix.activation-service[.]fr
• netflix.redirections-service[.]fr
• identifiant-membre[.]com
• services-membres[.]com

Campagnes de suivi de faux colis

Alors que de nombreuses campagnes de phishing tentent de rediriger les gens vers de faux sites Web qui collectent des informations privées, les criminels redirigent parfois les gens vers des logiciels malveillants. Dans cette campagne, qui a commencé en Asie mais a atteint l'Europe cette année, le malware s'appelle "Roaming Manties".

"Roaming Manties" a été observé en France en juillet 2022 et cible toujours les utilisateurs français. L'attaque est généralisée, ayant été vue plus de 90 000 fois depuis septembre par les utilisateurs sous Scam Alert.

Contrairement au Royaume-Uni et à l'Allemagne, la plupart des messages contenant ces liens mentionnent des problèmes de livraison de colis.

Exemples d'URL :

• hxxp://cdmkn.czpua[.]com
• hxxp://yrqhz.pdtdg[.]com
• hxxp://hiixh.etqph[.]com
• hxxp://rpsqb.xmgtr[.]com
• hxxp://rocnt.tqhvo[.]com
• hxxp://tusnl.czpua[.]com
• hxxp://mijdx.czpua[.]com
• hxxp://lwsik.etqph[.]com

Escroquerie à la livraison ChronoPost

Exemples d'URL :
• chronopostsupport[.]fr
• hxxps://acheminements-chronopost[.]fr
• chronopost-aide[.]info
• chronopostservice[.]fr
• hxxps://mon-suivi-chronopost[.]com/client
• chronopost-serviceclient[.]com
• chronopost-livraison-fr[.]com
• hxxps://interruption-chrono[.]com
• hxxps://suspension-colis[.]fr
• suivis-chronopost[.]fr
• livraison-acheminer[.]com
• colischronopost[.]com
• hxxps://chronopost[.]express
• chronopost-livraison-suivi[.]com
• hxxps://chronopost.suivi-informations[.]com
• chronopost.suivi-informations[.]com
• hxxps://helper-chronopost[.]com
• hxxps://csuivi-chronopost-colis[.]com
• hxxps://suivi-chronopost-colis-client[.]com
• bit[.]ly/3DJusIQ
• hxxps://chronopost-suividecommande[.]fr

Restez en sécurité !