le 8 avril 2019

Doctor Web alerte : les pirates utilisent les formulaires d'abonnement aux e-mailings d’entreprises étrangères connues pour diffuser des liens vers un site de phishing. L’utilisation de messages provenant d’adresses email officielles d'entreprises permet de gagner la confiance des internautes, et ces messages passent à travers les filtres de spam des messageries, ce qui permet aux pirates de toucher encore plus de victimes potentielles.

Des internautes russes ont commencé à recevoir par email des messages de phishing provenant de sociétés étrangères connues, telles que Audi, Austrian Airlines et S-Bahn Berlin. Ces messages sont envoyés depuis des adresses email officielles et, a première vue, n’éveillent pas de soupçons. Le titre et le message sont écrits en anglais ou en allemand mais les mots suivants en russe sont mis en relief : " ВАМ ДЕНЬГИ " ce qui se traduit comme " De l'argent pour vous ".

Le début du message contient un lien. S’il clique dessus, l'utilisateur est redirigé vers la page d'un site de rencontres. Ensuite, en raison d'un code malveillant intégré dans la page du site, et via une chaîne de redirections, la victime se trouve sur une ressource de phishing.

Là, l'utilisateur voit un message indiquant que son adresse e-mail a gagné une occasion de participer à la campagne internationale " Happy email ". Puis il est invité à participer à un sondage et à recevoir une récompense dont le " montant " varie entre 10 et 3000 EUR. Pour la crédibilité du site, les pirates ont publié des avis de personnes qui ont prétendument gagné de l'argent et entre autres, des avis d’utilisateurs mécontents du petit montant de leur gain.

Après quelques questions, des informations sur la campagne s'affichent accompagnées du total de prix et des conditions d'obtention de l'argent. L'une des conditions consiste en un paiement nécessaire obligatoire de commissions pour la conversion des devises en roubles.

Pour payer les commissions, l'utilisateur est redirigé vers une page lui proposant de saisir les détails de sa carte bancaire. Une fois les données entrées, l'utilisateur doit entrer un code qui lui est envoyé par SMS. Lorsque toutes ces étapes sont réalisées, des fonds sont prélevés de la carte de la victime tandis que les détails de la carte restent à la disposition des propriétaires du site frauduleux. La victime ne reçoit aucun prix.

La méthode utilisée par les pirates pour envoyer ces messages de phishing est intéressante. Ils utilisent en effet des formulaires officiels d'abonnement à des mailings de différentes entreprises. Puisque les champs d'entrées de ces formulaires permettent de saisir différents caractères, les pirates ont la possibilité d'envoyer des messages contenant des liens malveillants aux noms de grandes entreprises. Pour cela, dans le champ " NOM ", ils inscrivent " De l'argent pour vous ", et à la place du nom de famille, ils mettent un lien vers un site de phishing. En conséquence, la victime reçoit sur son adresse email un message pour confirmer son abonnement au mailing d'une entreprise, provenant de son adresse officielle.

Les experts de Doctor Web recommandent aux internautes d'être vigilants lorsqu'ils visitent des liens de ce type et de ne pas indiquer leurs données personnelles sur des ressources douteuses.