La Poste victime d’une tentative d’hameçonnage hybride

ZTE accusée de fournir du matériel d'espionnage à l'Iran



C’est selon La Poste une première combinant support physique et numérique. Une arnaque au faux avis de passage de l’entreprise postale vient d’être déjouée, après la divulgation sur les réseaux sociaux de son mode opératoire. Cette manœuvre inédite de hameçonnage destinée à voler des identifiants bancaires a été repérée près de Montpellier.



Ce 28 août, Flavio Perez partage sur Twitter le drôle d’avis de passage qu’il a reçu. Le document, qui reprend la charte graphique de La Poste, invite à scanner un QR code ou à saisir une longue adresse web commençant par laposte.fr pour confirmer une nouvelle “livraison” d’un recommandé avec avis de réception.



Arnaque innovante

Comme le relève Flavio Perez, le lien et le QR code redirigent ensuite vers un site malveillant, laposteaide.fr. L’internaute est alors invité à saisir ses coordonnées bancaires pour payer la somme de 0,97 euros permettant soit disant la réexpédition du courrier. “Très facile d’y croire”, remarque l’internaute, qui ne s’est cependant pas fait piégé.


L’arnaque, particulièrement innovante selon les spécialistes, se base d’abord sur le support papier, un gage de crédibilité pour les victimes. Ce document a été particulièrement travaillé, par exemple en mentionnant un numéro de suivi utilisé à titre d’exemple par La Poste sur son site internet.



Les arnaques connues à la fausse livraison d’un colis s’appuyaient jusqu’ici sur l’envoi d’un SMS ou d’un mail. Comme relevé par la plateforme gouvernementale Cybermalveillance, ces arnaques visent le vol d’informations personnelles et bancaires.


Vulnérabilité informatique

Les cybercriminels derrière le faux avis de passage papier ont ensuite profité d’une faille dans la configuration de laposte.fr, qui autorisait sans contrôle une redirection web. Une vulnérabilité pourtant bien connue. La technique de l’Open redirect est couramment utilisée dans des tentatives d’hameçonnage. En témoigne par exemple cette exploitation malveillante à l’encontre d’un des sites du FBI relevée par le journaliste spécialisé Brian Krebs en juillet dernier.



L’entreprise postale affirme avoir depuis déployé un correctif empêchant la création d’une adresse web de redirection avec une racine en laposte.fr. Si La Poste n’a pas donné de précisions techniques, citons la définition d’une liste blanche ou l’interdiction de certains caractères comme parades classiques. Le site frauduleux laposteaide.fr n’est également plus accessible. L’entreprise rappelle enfin ne jamais demander d’argent pour une nouvelle présentation d’un recommandé ou d’un colis.





Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.