Tentatives de Phishing
-
Carrefour ne restitue pas systématiquement le montant des cagnottes dérobées. Et invite ses clients à « sécuriser leurs données ».
« Je me suis fait pirater ma carte Carrefour, nous écrit Fabienne, qui avait pris l’habitude de cagnotter toute l’année grâce au programme de fidélité de l’enseigne afin d’offrir des cadeaux de Noël à ses quatre filles. On a volé et utilisé les 207 € de ma cagnotte dans un magasin à Toulon, alors que je vis à Draguignan. »
Depuis plusieurs mois, 60 Millions reçoit des témoignages de ce type de la part de clients de Carrefour et, à un degré moindre, d’Auchan et de Super U. Le montant de la cagnotte déposée sur leur carte de fidélité, sur laquelle ils ont accumulé des dizaines, voire des centaines d’euros, a disparu du jour au lendemain.
Des cagnottes achetées au rabais sur le darknet
Des escrocs parviennent à se procurer les identifiants des comptes en question et à trouver le mot de passe, à l’aide d’un logiciel qui permet de « casser » les plus vulnérables. Ces données sont ensuite revendues sur des boutiques du darknet ou des forums Discord, souvent pour la moitié du montant de la cagnotte.
Ceux qui « achètent » ces données vident alors les cagnottes dans un magasin souvent situé à des centaines de kilomètres de celui du porteur. Le Télégramme raconte l’exemple d’un jeune Breton qui s’est procuré, contre seulement 15 €, les 40 € crédités sur le compte fidélité Carrefour d’une habitante du centre de la France. Dans les Hauts-de-France, une femme ayant dérobé plus de 4000 € sur des cartes Waaoh d’Auchan a été condamnée à six mois de prison, rapporte La Voix du Nord.
Pas plus d’une restitution d’argent chez Carrefour
La plupart du temps, les enseignes restituent sur une nouvelle carte les sommes dérobées après que la victime a rempli un formulaire d’attestation sur l’honneur.
Chez Carrefour, plusieurs clients ayant été victimes une seconde fois du même type de piratage se sont toutefois vu refuser tout remboursement. Lætitia a été dans ce cas. Voici le message qu’elle a reçu de la part du service clients Carrefour : « Je vous rappelle que vous êtes responsable de vos données personnelles et que cette action de recrédit ne sera réalisée qu’une seule fois. Je vous invite à sécuriser vos données. »
Éviter les mots de passe tels que « 1234 »
Contacté, Carrefour reconnaît « une augmentation des tentatives d’usurpation, qui restent cependant mesurées à date ». L’enseigne appelle ses clients à la plus grande vigilance. « Nous leur conseillons d’éviter de choisir des codes de cagnotte trop simples tels que les dates de naissance, les années de naissance ou les suites de chiffres type 1234. »
Les titulaires de la carte sont également incités à changer régulièrement leur mot de passe sur le compte Carrefour.fr et à « éviter à tout prix qu’il soit similaire à [celui] d’autres sites marchands qu’ils fréquentent ».
Source : 60millions-mag.com
-
Après, on peut aussi se poser la question de l’utilité de ces cartes
-
c’est juste des bases de données avec un checker, d’ou l’intérêt de mettre un mail et mot de passe différents partout
mais bon c’est dégueulasse de pas rembourser plus d’une fois
-
“il n’y a pas de petites économies”, un sou est un sou
se décarcasser à pirater une carte de fidélité, tout ça pour voler quelques euros je trouve ça pathétique ^^
-
undefined Raccoon a scindé ce sujet sur
-
merci pour ce post cliquez pas sur n’importe quoi
-
J’veux pas partir en prison
-
patricelg PW Addict DDL Rebelle Windowsien Ciné-Séries Cluba répondu à Raccoon le dernière édition par
@Raccoon Mais non, mais non. 10000 euros en échange de mon silence
Comme si les autorités allaient envoyer un mail à ces saloperies pour qu’ils aient le temps d’effacer les données… -
[…]
sncf.com@tentative.arnaque
Dans notre exemple, il s’agit de la SNCF, dont la bonne adresse est sncf.com, mais cela pourrait fonctionner avec n’importe quel autre site.
Comme vous pouvez le voir, des caractères supplémentaires se trouvent après l’extension. Cela arrive tout le temps, car les URL servent aussi à faire passer des paramètres et autres traceurs. Mais le « @ » à une signification particulière dans les URL, comme l’explique l’IETF. Le document date de 1994, autant dire que le sujet n’est pas récent.
On va simplifier un peu l’exemple de la RFC de l’IETF en prenant comme exemple : « //<user>:<password>@<host> » (host représente le nom de domaine, sncf.com dans notre exemple).
Il s’agit en fait d’une méthode d’identification directement via l’URL. On pourrait imaginer une adresse du genre « sebastien:[email protected] ». Dans ce cas, le site visé se trouve après l’@, les paramètres d’identification avant.
Des pirates détournent cette fonction en essayant de faire passer de faux sites pour de vrais sites. Dans l’image ci-dessus, on peut voir que l’URL est de la forme « sncf.com@site.extension ». Beaucoup de personnes risquent de penser, à tort, que sncf.com est le site cible, alors que c’est l’identifiant (qui ne sera pas utilisé dans le cas présent) !
Résultat des courses, on est redirigé vers le site malveillant, pensant arriver sur celui de la SNCF (ou d’un autre site légitime, vous avez compris l’idée). La prévisualisation dans WhatsApp laisse apparaitre un message alléchant, que l’on pourrait croire venant de la SNCF : « Cadeau de Noël - Voyage gratuit pendant un an ».
Les attaquants mettent alors en place un site reprenant les couleurs et la mise en page de celui de la SNCF. Ils peuvent ensuite récupérer des informations de ceux qui se laissent avoir.
[…]
Firefox affiche un message d’alerte
On s’étonne quand même que les navigateurs redirigent les internautes sans autre forme de procès ni afficher le moindre message d’avertissement, d’autant que cette technique de manipulation existe depuis maintenant 20 ans. Ce n’est pas tout à fait exact, car il y a une exception : Firefox, qui demande une confirmation. Nous avons testé avec cette URL : « http://[email protected] », et un message d’alerte apparait :
« Vous êtes sur le point de vous connecter au site « next.ink » avec le nom d’utilisateur « youtube.com », mais ce site web ne nécessite pas d’authentification. Il peut s’agir d’une tentative pour vous induire en erreur.
« next.ink » est-il bien le site que vous voulez visiter ? »
Brave, Edge, Chrome et Safari n’en ont que faire et renvoient sans broncher vers le site derrière l’@ (aussi bien sous Windows que Linux). Il faut dire que c’est le comportement attendu par défaut selon la notice de l’IETF, mais les navigateurs feraient bien de prendre exemple sur Firefox.
Mozilla prend en effet le parti de prévenir les utilisateurs, ce qui peut être utile pour les néophytes. Pour les aguerris (qui savent ce qu’ils font), il est possible de désactiver cette confirmation en ajoutant une entrée dans about:config : network.http.phishy-userpass-length, avec une valeur numérique à 255.
Source : next.ink
-
Swisscom a une bonne nouvelle pour moi!
Ben voyons:
Mais c’est bien sûr:
-
@michmich J’ai changé l’ID pour voir si ça donnait quelque chose sans prendre de risque:
https://nl.swisscom.com/r/?id=monculoui!
Et voilà le retour:
URL demandée ‘/r/?id=monculoui!’ ne peut être trouvé
Il semblerait que le site nl.swisscom.com soit un site de redirection de masse
Je ne vais pas le faire avec ton id, ça validerais surement ton e-mail comme pigeon
-
Tu as vu ils n’ont pas oublié le petit logo.
-
«Allô, c’est la police. Votre fils a eu un accident»
Les polices lancent une campagne nationale contre les faux appels chocs, destinés à soutirer de l’argent à des séniors déstabilisés. Voici comment s’en prémunir.
Il est 9 h du matin et l’octogénaire Edmée vient de finir son petit-déjeuner à la maison. Le téléphone sonne. Le numéro 117 s’affiche sur le cadran. Elle décroche. «Bonjour Madame, c’est la police. Votre fils a été victime d’un grave accident. Malheureusement, sa carte d’assurance n’est pas reconnue. Il faudrait au plus vite passer à votre banque et retirer 30’000 francs. Chaque minute compte, il en va de la vie de votre enfant. On vous envoie quelqu’un pour vous accompagner à la banque.» En arrière-fond, on entend un vacarme important avec sirène d’ambulance et cris de douleur.
Edmée est totalement paniquée. Elle ouvre à la personne qui se présente peu après à sa porte et va retirer l’argent demandé à la banque. Cet argent, elle ne le reverra jamais. Elle vient d’être victime d’un «appel choc». Son fils n’a jamais eu d’accident, aucun policier ne lui a téléphoné et une bande d’escrocs l’a dépouillée de ses économies en un temps record.
Les truands misent sur la peur
Le cauchemar d’Edmée est un exemple fictif, mais basé sur la réalité. Il y a de plus en plus d’appels chocs effectués en Suisse. Ils ont remplacé la traditionnelle «arnaque du neveu», où un jeune homme se faisait passer pour un soi-disant neveu et en venait petit à petit à réclamer de l’argent à son cher «oncle» ou à sa chère «tante». La technique d’approche était plus longue. Les truands veulent gagner du temps. Alors ils jouent avec les peurs des gens et la volonté d’aider pour dépouiller le plus rapidement possible les séniors.
Les scénarios sont multiples et variés. Vous en voulez encore un exemple? En voici un bien réel, cité ce jeudi par les polices suisses qui lancent dès à présent une grande campagne nationale de prévention. Jürg Wobmann, président de l’Association des chefs de police judiciaire suisses, raconte: «Un faux policier appelle une octogénaire. Il lui dit que des voleurs sont en train d’écumer son quartier. Il lui conseille de mettre immédiatement toutes ses valeurs dans un sac que la police mettra en sécurité.» Un faux policier vient chercher le sac et le tour est joué.
Les criminels exploitent à fond l’état de choc de la victime, la mettent constamment sous pression, la culpabilisent si elle ne se montre pas immédiatement coopérative. Au bout du fil, cela peut-être un faux policier, un faux douanier, un faux avocat, un faux médecin-chef ou un faux banquier, selon l’histoire servie à la victime.
Tout cela est piloté très professionnellement par des clans à l’étranger, organisés de façon hiérarchique. Ils sont basés en France ou dans l’espace francophone pour la Suisse romande, en Turquie et en Pologne pour la Suisse alémanique. Le travail est réparti entre ceux qui dénichent les bonnes adresses, ceux qui appellent et les coursiers qui récupèrent l’argent. Ces derniers peuvent faire partie du clan ou être engagés sous un faux prétexte parmi des chauffeurs de taxi ou des chômeurs.
Des millions extorqués
Combien de victimes de ces appels déstabilisants? Difficile de le savoir, car tout le monde ne dépose pas plainte. La police estime que des centaines d’appels chocs sont passés par jour. La cible préférée? Une personne âgée, seule, que les criminels repèrent grâce à son prénom ancien. Les victimes en ressortent souvent traumatisées, honteuses de s’être fait pareillement rouler dans la farine.
Les appels chocs «fructueux», avec ou sans faux policiers, se comptent par milliers en 2023. Les sommes dérobées dépassent déjà les 10 millions de francs. Qu’en est-il dans la région lémanique? «En 2022, 27 annonces ont été effectuées auprès de la police, dont 2 réussites de vol pour des montants de 20’000 francs et 50’000 francs.», nous répond Olivia Cutruzzolà, cheffe de la Section prévention criminelle sur le canton de Vaud. En 2021, il n’y avait que 19 plaintes, mais pour un montant de 160’000 francs. Genève aussi est touché par le phénomène. Le canton a d’ailleurs lancé une campagne de prévention l’hiver dernier, à la veille des fêtes de Noël.
Comment se prémunir contre les appels chocs:
Comme pour les arnaques sur le web, il y a des moyens de se prémunir contre les appels chocs. Voici quatre conseils pratiques qui figurent dans la campagne de prévention:
Savoir que cela peut vous arriver. Ce qui vous permet d’être prêts quand l’escroc vous appelle et tente de vous mettre sous pression.
Ne pas tomber dans le panneau lors de l’appel, même si vous croyez entendre votre enfant au téléphone. La police donne un moyen simple: appel choc + demande d’argent = arnaque garantie.
Ne vous laissez pas abuser par un appel choc venant du 117 ou de tout autre numéro. Ne paniquez pas et raccrochez systématiquement.
Ne remettez jamais d’argent ou de valeurs à un inconnu. Et appelez le 117 pour signaler la tentative d’escroquerie.
Et attention, le pire est à venir. Un nouveau développement technologique risque de doper les succès des appels chocs: l’arrivée en force de l’intelligence artificielle. Vous pourriez bientôt entendre au bout du fil la voix recomposée artificiellement de votre fils qui vous appelle pour vous demander de toute urgence de l’aider financièrement.
-
Un étudiant chinois retrouvé seul en forêt après avoir été victime d’un “cyber-kidnapping” aux États-Unis
Cette photo diffusée par la police de Riverdale le 1er janvier 2024 montre les autorités en train de parler à Kai Zhuang près de l’endroit où il a été retrouvé dans les montagnes près de Brigham City, Utah, le 31 décembre 2023La police américaine a retrouvé Kai Zhuang, un étudiant chinois de 17 ans qui était porté disparu dans l’Utah. Le garçon a été victime d’un cyberenlèvement où il a été contraint de s’isoler dans une forêt par les criminels. Les malfaiteurs ont menacé de s’en prendre à sa famille s’il refusait de suivre les ordres qui lui étaient donnés. À l’inverse, ils ont convaincu la famille de Zhuang que le garçon était en danger et ont exigé une rançon.
La famille de Kai Zhuang a reçu une photo du jeune homme disparu, accompagnée d’une lettre exigeant une rançon avec pour échéance la date du 28 décembre. Au moment de la disparition, leur fils vivait dans une famille d’accueil. Cette dernière a immédiatement alerté la police. Les autorités affirment que les “cyber-ravisseurs” ont forcé Zhuang à faire croire à sa famille en Chine qu’il était en danger. Il a dû se retirer seul dans une zone boisée. Les parents de Zhuang ont payé environ 80 000 dollars (72 398 euros) aux ravisseurs pour une prétendue libération.
La police a trouvé Zhuang via une vidéo de surveillance le montrant en train d’acheter du matériel de camping. Les chercheurs ont commencé leurs recherches samedi dans la région de Brigham City Canyon. Ils craignaient que Zhuang ne meure de froid. Un jour plus tard, ils ont retrouvé l’étudiant d’échange “qui avait très froid et très peur” dans une tente.
Cette photo diffusée par la police de Riverdale le 1er janvier 2024 montre un officier de police à côté de Kai Zhuang sur le site où il a été retrouvé dans les montagnes près de Brigham City, Utah, le 31 décembre 2023Les criminels
“Il n’avait qu’une tente, une couverture, un sac de couchage, de la nourriture et de l’eau. Nous avons également trouvé plusieurs téléphones dans la tente. C’est ainsi qu’il a dû rester en contact avec les criminels”, explique le chef de la police Casey Warren. La police a déclaré que Zhuang était soulagé de voir les policiers. Il a immédiatement demandé s’il pouvait parler à sa famille.
Le chef de la police a précisé lors d’une conférence de presse que les cyber-ravisseurs ciblent souvent les étudiants d’échange. Les victimes sont informées que leur famille est en danger et qu’elles doivent s’isoler. Ils sont ensuite forcés de se prendre en photo dans une situation de détresse. Les cybercriminels utilisent ces images pour exiger une rançon aux familles.
Les auteurs de l’affaire n’ont pas encore été arrêtés.
-
Méfiez-vous des QR-Codes
Comme déjà expliqué ici: https://planete-warez.net/topic/4880/l-abus-croissant-des-codes-qr-dans-les-logiciels-malveillants-et-les-escroqueries-aux-paiements-suscite-un-avertissement-de-la-ftc
Des automobilistes piégés par une borne de recharge électrique dans ce village du Loiret
Une arnaque a été repérée sur une borne de recharge électrique dans le village de Lorris (Loiret). Un automobiliste a lancé l’alerte auprès de la mairie, qui a réagi.
Le 15 décembre 2023, un automobiliste s’arrête sur la place du Mail de Lorris (Loiret) pour y recharger son véhicule électrique sur l’une des bornes prévues à cet effet.
Surprise, après la période de chargement, son compte en banque a bien été débité de 29 euros mais le véhicule n’a, lui, pas été rechargé. Rebelote…
Suspectant un bug de l’appareil, l’utilisateur scanne de nouveau le QR code, censé le renvoyer vers la procédure de paiement auprès de l’exploitant de ladite borne. « De nouveau, il a été débité de 19 euros mais le véhicule ne s’est pas rechargé. On a tout de suite contacté Enedis pour mettre la borne hors-service et chercher à comprendre l’origine du problème», rejoue Valérie Martin, maire de Lorris, commune de plus de 3000 habitants.
Un faux QR code collé sur la borne !
Mobilisés, élus, gendarmes et policiers municipaux découvrent en fait qu’un faux QR code a été collé sur la fameuse borne ! « Il renvoyait vers un site internet basé à l’étranger. En scannant le QR code, les utilisateurs ont permis aux pirates, sans le savoir, de ponctionner de l’argent sur leur compte en banque», déplore l’élue.
Deux caméras de vidéo-surveillance sont positionnées au-dessus de la borne… « Mais difficile d’identifier un suspect qui ferait semblant de recharger son véhicule tout en installant son piège », souffle Fabrice Berton, qui précise qu’ »une enquête est en cours».
Depuis cette mauvaise surprise, la borne est de nouveau en service et le faux QR code a été retiré. Policiers municipaux et gendarmes passent régulièrement dans les environs pour vérifier que le petit malin ne retente pas son mauvais tour.
-
@duJambon J’ai reçu dernièrement des “Hello” des “Salut” tous avec des prénoms féminins bien sur, pas répondu!
c’est fou toutes ces admiratrices sur Whatsapp. 
-
@michmich Veinard ! Tout ce que je reçois moi, ce sont des menaces de publier des photos de moi à poil en train de me tirer sur le bigoudi…
-
@duJambon donc tu leur avais répondu en fait.
-
Les ravages des “faux acheteurs” sur les sites de vente en ligne
Depuis plusieurs mois, une nouvelle arnaque sévit sur les places de marché en ligne telles qu’Anibis, Ricardo ou Marketplace. Celle-ci cible les vendeurs, qui peuvent se faire dépouiller de toutes leurs économies en quelques clics.
La jeune femme a été victime d’une arnaque qui cible non pas les acheteurs mais les vendeurs de places de marché en ligne telles que Marketplace, Anibis ou Ricardo. Elle a mis quelques meubles en vente lors d’un déménagement, et c’est ainsi qu’elle a été repérée par les escrocs.
Faux site de La Poste
Ceux-ci l’ont contactée via WhatsApp avec un numéro suisse. La personne “m’a demandé si elle pouvait organiser un transporteur pour venir chercher le lit, vu qu’elle n’avait pas de voiture suffisamment grande pour le prendre, ce qui m’a paru assez cohérent”, témoigne la trentenaire. En réalité, il s’agit d’une technique régulièrement utilisée par les malfrats: celle d’un système de livraison fictif.
Un piège qui se referme rapidement: la fausse acheteuse guide la jeune femme vers un pseudo site de La Poste à travers lequel elle prétend pouvoir organiser la livraison et le paiement du meuble. La Poste ne propose pas ce service, mais le faux site est très bien fait et la victime n’y voit que du feu. Elle y entre son nom, son adresse, son IBAN et le numéro ID de sa carte, ainsi qu’un code de vérification.
Sans qu’elle ne s’en aperçoive, les voleurs saisissent ainsi les informations permettant d’accéder à ses comptes, et les siphonnent à coups d’achats de plusieurs milliers de francs sur des sites tels que Microspot, Brack ou Galaxus. “Quand j’ai reçu les décomptes de la banque, j’ai vu que les quatre premières tentatives de paiement (…) avaient été stoppées. Le système anti-fraude FalconFraud les a identifiées comme suspicieuses et les a stoppées… Mais les dix suivantes ont passé”, raconte la témoin.
PostFinance rejette la responsabilité
PostFinance n’explique pas pourquoi le système n’a contré que les premières tentatives. Mais pour l’établissement bancaire, la seule responsable de ce vol est sa cliente: “Il est établi que [la cliente] a contrevenu à ses devoirs de diligence en transmettant – à plusieurs reprises – ses données confidentielles à des tiers. La fraude dont [elle] fait valoir avoir été victime n’aurait pas eu lieu si elle n’avait pas divulgué tous les éléments de sécurité personnels à des tiers.”
En Suisse, le volume d’arnaques en ligne est considérable: “Chaque année, 22’000 cyberescroqueries sont rapportées au corps de police”, commente Olivier Beaudet-Labrecque, doyen de l’institut de lutte contre la criminalité économique de la Haute Ecole Arc à Neuchâtel. “On a une spécialisation des cybercriminels, y compris en Suisse romande puisque l’infraction est réalisée en français en utilisant le site de La Poste”.
La police peine à endiguer le phénomène car de nombreux malfrats agissent depuis l’étranger. “L’approche que le Royaume-Uni met en place est intéressante”, relève le spécialiste. “A partir de cette année, les banques y ont une responsabilité par rapport à leurs clients. En cas de fraude, elles devront les rembourser à hauteur d’un demi-million de francs maximum par fraude.”
Je n’ai pas compris en quoi la victime aurais eu besoin de payer quoi que ce soit, et donc, rentrer ses informations bancaires, sauf si l’acheteur lui demandait de payer la livraison, quoi qu’il en soit, l’arnaque existe, fonctionne, et donc requiers la plus grande méfiance, comme d’habitude.
Quelques conseils pour ne pas se faire avoir
Les escroqueries en ligne sont de mieux en mieux faites et de plus en plus difficiles à détecter : arnaqueurs qui s’expriment dans un français parfait, voleurs qui répondent à des numéros suisses, faux sites sans faute d’orthographe, etc.
“Ça peut arriver à n’importe qui, à vous, à moi, même aux personnes les plus aguerries qui auraient par exemple effectué une formation de prévention contre la cybercriminalité”, avertit Jonathan Grossenbacher, porte-parole de la Police cantonale bernoise. “Soyez toujours sur vos gardes, méfiez-vous de ce que vous recevez, méfiez-vous des liens et si vous n’êtes pas sûrs, demandez un avis extérieur, enfin n’agissez pas sous le coup de l’émotion.”
La Prévention suisse de la criminalité (PSC) souligne par ailleurs que les sites de petites annonces n’indiquent jamais travailler officiellement avec certains services de livraison ou coopérer avec La Poste ou DHL. Elle indique également que La Poste n’effectue jamais de transactions financières sur le pas de la porte – une “option” proposée par certains escrocs.
Au niveau de la vente en ligne, si la personne ne peut pas venir chercher le produit et insiste pour passer par un service de transport compliqué ou inconnu, “un signal d’alarme devrait se déclencher chez vous”, résume la PSC.
À noter que tout site vous proposant un moyen de payement de vos achats peut simuler le système de payement pour vous soutirer les informations en question, seule la vérification à deux facteurs peut vous en préserver. Ou alors, utilisez une carte de crédit à prépaiement juste garnie du montant à payer…
