SMS Phishers Pivot to Points, Taxes, Fake Retailers

Les nouvelles tactiques des escroqueries par SMS : Fausses boutiques en ligne et points de récompense

Les groupes de phishing basés en Chine ont élargi leur arsenal, proposant désormais des kits pour créer des sites de commerce électronique frauduleux et exploitant de nouvelles appâts par SMS. Ces tactiques visent à voler des données de cartes de paiement et à les utiliser pour ajouter des cartes à des portefeuilles mobiles, ainsi qu’à usurper des promotions de points de fidélité ou des remboursements d’impôts.

Points clés :

• Kits de phishing pour faux sites e-commerce : Ces kits permettent de créer rapidement des boutiques en ligne convaincantes mais frauduleuses. Elles sont souvent promues via des publicités ciblées sur des plateformes comme Google et Facebook. Les victimes sont invitées à fournir leurs informations de paiement et un code de vérification unique, censé valider la transaction, mais qui est en réalité utilisé pour enregistrer la carte dans un portefeuille mobile contrôlé par les escrocs. Ces sites sont difficiles à détecter car ils ne se manifestent que lors du processus de paiement.
• Appâts par SMS réinventés : Outre les habituels messages sur des colis ou des péages non payés, les escrocs ciblent maintenant les utilisateurs de T-Mobile et AT&T avec de faux messages leur promettant des milliers de points de récompense. Ils se font également passer pour des autorités fiscales afin de proposer des remboursements d’impôts non réclamés. Ces messages, envoyés via iMessage ou RCS, redirigent vers des sites frauduleux qui collectent des informations personnelles et bancaires, y compris le code de vérification unique.

Vulnérabilités :

• Bien que l’article ne mentionne pas de CVE spécifiques, le processus décrit expose les utilisateurs à la compromission de données de cartes de paiement et à l’ajout non autorisé de ces cartes à des portefeuilles mobiles.

Recommandations :

• Vigilance face aux offres trop alléchantes : Méfiez-vous des offres exceptionnelles ou des messages inattendus concernant des points de récompense, des remboursements d’impôts ou des problèmes de livraison.
• Vérifier la légitimité des sites : Avant de faire un achat en ligne, surtout sur des sites peu connus, recherchez leur réputation et vérifiez la date de création du domaine via une recherche WHOIS. Privilégiez les sites marchands reconnus.
• Éviter de cliquer sur les liens suspects : En cas de doute sur un message (commande, livraison, etc.), accédez directement au site officiel de l’entreprise concernée en tapant son adresse dans votre navigateur, plutôt que de cliquer sur les liens fournis dans le message.
• Ne jamais partager les codes de vérification uniques : Ces codes envoyés par votre banque sont strictement confidentiels et ne doivent jamais être communiqués, même si le site affirme qu’ils sont nécessaires pour vérifier une transaction.
• Contrôler ses relevés bancaires : Examinez attentivement vos relevés de carte de crédit et contestez immédiatement toute transaction non autorisée, surtout pendant les périodes de forte activité comme les fêtes de fin d’année.
• Signaler les tentatives de phishing : Utilisez des plateformes comme smishreport.com pour signaler les messages et sites frauduleux, contribuant ainsi à leur identification et à leur suppression.

Source