Une nouvelle arnaque usurpant l’identité de la SNCF vise les Français. L’escroquerie repose sur l’envoi d’un faux concours organisé par la SNCF, avec la clé un Pass Navigo gratuit. La campagne de phishing vise à collecter une foule de données, dont vos coordonnées bancaires.
Une arnaque en ligne aux couleurs de la SNCF se propage en France. Épinglée par Zataz, l’arnaque tente de piéger les Français avec la promesse d’un Pass Navigo gratuit. L’objectif des cybercriminels est de siphonner le plus de données que possible, y compris des coordonnées bancaires.
A lire aussi : Arnaque à la carte Vitale en cours – méfiez-vous des mails de l’Assurance Maladie, c’est peut-être une redoutable attaque phishing
Un faux concours pour appâter les Français
L’attaque débute par l’envoi d’un mail qui prétend provenir de la SNCF. Le courriel reprend les codes visuels et le ton d’un mail officiel de SNCF Connect ou de SNCF Voyageurs. Le message propose à la cible de remporter un Pass Navigo Mois toutes zones. Pour obtenir celui-ci, vous êtes invité à participer à un sondage qui ne prend que trois minutes. Le mail précise que 150 Pass sont mis en jeu par la SNCF.
Pour participer à ce faux sondage, vous allez devoir cliquer sur un lien glissé dans le mail. Sans grande surprise, ce lien redirige les visiteurs sur un site web imitant l’interface de celui de la SNCF. Vous serez alors invité à remplir un questionnaire tout à fait anodin. Le questionnaire commence par des questions anodines sur l’usage des transports, la fréquence de voyage ou la satisfaction client, ce qui rassure la victime. Le « faux sondage sert de sas de confiance », explique Damien Bancal, l’expert en cybersécurité du blog spécialisé.
A lire aussi : Une arnaque à la carte bancaire vise votre smartphone – des pirates chinois ont trouvé le moyen de vider votre compte
Des données bancaires dans le viseur des pirates
Peu à peu, le formulaire demande des informations plus sensibles, telles que votre nom, votre adresse e‑mail, votre numéro de téléphone, votre adresse postale et votre date de naissance. Le site malveillant prétend avoir besoin de ces informations pour contacter ultérieurement le gagnant du concours.
Ensuite, les cybercriminels à l’origine de l’opération vont réclamer des informations bancaires. Ils prétendent que vous devez régler les frais d’activation ou d’envoi du Pass Navigo. Avec les données bancaires communiquées par la victime, les pirates vont pouvoir réaliser des virements frauduleux sur le compte. Parfois, les données sont simplement exfiltrées et revendues sur le dark web.
Comme l’explique le rapport de Zataz, le but des cybercriminels n’est pas uniquement de siphonner votre compte bancaire. Les pirates cherchent surtout à constituer une vaste base de données sur les utilisateurs intéressés par un Pass Navigo. Ces informations peuvent être utilisées ultérieurement dans d’autres arnaques en ligne.
Pour se protéger, le plus simple est de se méfier systématiquement des concours reçus par mail. De son côté, la SNCF rappelle qu’elle ne distribue pas de Pass Navigo gratuits par mail et que SNCF Connect « ne vous demandera jamais de renseigner vos données personnelles (nom, âge, adresse, données bancaires, mots de passe, infos compte client…), ni par mail ni par SMS ».
En cas de doute, vérifiez l’adresse de l’expéditeur du mail et l’URL du site web. En l’occurrence, l’adresse n’avait rien à voir avec l’adresse mail de la SNCF. De même, l’URL n’évoquait pas le site officiel de la SNCF. Restez méfiants lorsque vous remplissez un formulaire qui réclame de plus en plus d’informations sur votre compte. Même des informations qui vous semblent anodines, comme votre adresse, peuvent servir de point de départ à une cyberattaque. En cas de doute, ne répondez pas, ne saisissez aucune information et supprimez le mail de votre boîte.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Zataz