Lors d’une fuite de données personnelles (noms, prénoms, adresses email), il existe un risque d’atterrissage de campagnes de phishing. Finalité de l’opération : récupérer d’autres données et/ou informations bancaires. Nous avons un cas pratique avec Shadow. Nous en profitons pour vous donner les clés afin de constater rapidement qu’il s’agissait d’une arnaque. Pensez-y la prochaine fois.
En octobre, Shadow a informé ses clients d’un piratage et d’une fuite de leurs données personnelles. Le pirate informatique a utilisé une attaque d’ingénierie sociale contre l’un des employés de l’entreprise. Il a ainsi pu récupérer et utiliser un cookie pour se connecter à une interface de gestion. C’est là qu’il a siphonné les données personnelles des utilisateurs.
Shadow avait communiqué ouvertement sur l’exploitation de cette faille, en expliquant les tenants et les aboutissants. Un bon point, qui a servi à nous rappeler l’importance d’être prudent lorsqu’on reçoit des messages de personnes qu’on ne connaît pas. Comme nous l’expliquions alors, le principal risque était une attaque de phishing, avec des pirates se faisant passer pour Shadow.
Fuite en septembre, phishing en juin
Cela a pris du temps, mais c’est finalement arrivé. Vendredi, plusieurs d’entre vous ont reçu un mail annonçant « Shadow se lance dans la Blockchain », et de le signaler sur les réseaux sociaux. L’email est relativement « propre » et crédible à première vue, généralement suite à la présentation des communications officielles de l’entreprise. Mais un rapide coup d’œil permet de déceler la tromperie.
Sans être parfait, loin de là, l’email peut suffire à tromper certaines personnes. D’ailleurs, plusieurs clients ont posé des questions sur cette « communication ». Shadow est rapidement sorti du bois pour expliquer qu’il ne s’agit pas d’une communication officielle. ” Ne cliquez pas sur les liens et ne fournissez aucune information personnelle », ajoute l’entreprise.
C’est aussi un bon réflexe de voir si l’entreprise communique sur les réseaux sociaux ou sur son site (rubrique actualité, blog, presse, etc.). Nous en profitons pour une analyse rapide des principaux « drapeaux rouges » qui permettent d’identifier le faux. Comme c’est souvent le cas aujourd’hui, il n’y a pas d’erreurs françaises majeures évidentes dans le texte.
Drapeau rouge n°1 : Ombre et crypto (même si ça rime)
Le message est alléchant : « récupérez votre token gratuit grâce à notre airdrop exclusif « . Coinbase rappelle qu’un crypto airdrop est un véritable « stratégie utilisée par les startups blockchain pour distribuer des jetons ou des pièces à des adresses de portefeuille spécifiques « .
Eh bien, déjà, Shadow fait du cloud gaming, pas de la crypto. Premier « drapeau rouge » facile à identifier avant de cliquer sur un lien. Rien n’empêche l’entreprise de se lancer dans le « web3 », mais rien ne le suggère non plus. Cela nécessite au moins quelques vérifications.
URL du drapeau rouge n° 2
Puis, toujours sans cliquer évidemment, on regarde l’URL de destination du lien pour « récupérer » le prétendu airdrop : shadow-redirect.tech. La méthode dépend du navigateur et de l’e-mail, mais en survolant le lien sans cliquer, vous verrez généralement l’URL.
Deuxième « drapeau rouge » donc, relativement facile à identifier. D’autant plus que l’adresse est en texte brut, et ne passe même pas par un raccourcisseur d’URL ou des redirections. Ce n’est pas toujours le cas et les redirections peuvent masquer la destination finale. En cas de doute, utilisez WhereGoes pour voir l’adresse finale.
Les hackers ont joué la carte serrée, avec un nom de domaine assez proche du nom officiel de l’entreprise : shadow.tech. Ils ont simplement ajouté un « -redirect » dans l’URL, ce qui en fait un nouveau nom de domaine. Nous avons tenté l’expérience pour vous : le site pirate ne répond plus.
Drapeau rouge n°3 : l’expéditeur
Il y avait un troisième signal d’alarme facile à identifier : l’expéditeur avec « [email protected] « . Un nom de domaine sans rapport avec Shadow, qui utilise normalement [email protected] pour ses communications. Logique puisque c’est le nom de domaine correspondant à son site.
Signalons enfin, toujours sur X, un message de Hyg_0x : « J’ai essayé de vous alerter que la base de données qui vous a été volée en septembre 2023 a été mise en vente il y a quelques semaines ce qui aurait pu être anticipé mais visiblement cela n’a pas été pris au sérieux « . Le message en question date de la mi-mai.
Des indicateurs, mais pas une science exacte
Attention, ces signaux d’alarme ne sont ni suffisants ni nécessaires. Les vrais emails peuvent faire référence à un autre nom de domaine ou provenir d’une agence de presse, et peuvent donc ne pas correspondre au service. A l’inverse, il est possible de modifier les entêtes et l’expéditeur pour faire apparaître comme une véritable communication alors que ce n’est pas le cas.
Même chose pour les liens et les pièces jointes. Un lien peut suggérer qu’il pointe vers next.ink, sans forcément l’envoyer vers le meilleur site du monde. Il existe également le cas de caractères proches, comme un I (i majuscule), un l (L minuscule) et un | (barre verticale).
Même chose pour les pièces jointes : un « fichier jpg » peut cacher bien plus qu’une image (ou autre chose), idem pour un document de travail… et on ne parle même pas d’archives et de fichiers exécutables.
Que ce soit sur les réseaux sociaux, la messagerie et tout canal de communication, soyez prudent et réfléchissez avant d’agir, cela permet généralement d’éviter les problèmes ou du moins de limiter significativement les dégâts.
