Les escroqueries impliquant la Nubank ont proliféré sur Facebook et Instagram, mais les criminels parient toujours sur un support plus traditionnel : le spam par SMS. J’ai reçu un message d’un site de phishing qui tente de voler les mots de passe de Nubank et Google ; il demande même un selfie avec RG ou CNH à deux reprises.
Tout a commencé par un message SMS : “propriétaire [mon numéro de portable], vous avez reçu un important msg Nubank vizualize tinyurl.com/xxxxx”. Les fautes d’orthographe et le lien raccourci via TinyURL suffisent pour qu’un utilisateur expérimenté sache qu’il s’agit d’une escroquerie, mais j’ai décidé de mordre à l’hameçon.
Sommaire
Le site de Nubank a une connexion sécurisée
Le lien mène à une page qui imite l’interface de Nubank, demandant votre CPF et votre mot de passe. Le navigateur affiche le cadenas indiquant que la connexion est sécurisée : le certificat provient de CloudFlare, qui offre une protection SSL gratuite pour les sites hébergés sur le service.
Comme nous l’avons dit précédemment, le verrouillage ne signifie pas que le site est sécurisé : il signifie seulement que les informations voyageront cryptées par Internet jusqu’à ce qu’elles atteignent leur destination ? dans ce cas, le point final est un voleur de données.
Vous pouvez utiliser des outils en ligne pour générer des numéros CPF valides ; ceux-ci sont utilisés pour tester des logiciels en cours de développement ou pour enquêter sur des escroqueries de phishing sans pour autant renoncer aux données personnelles. La page nécessite au moins 8 caractères dans le champ du mot de passe ; ensuite, elle demande les quatre chiffres du mot de passe de la carte.
Pour moi, le revirement est intervenu après que le site m’ait demandé mon adresse électronique : il m’a conduit sur une page imitant Google et me demandant le mot de passe. Le coup à l’intérieur du coup m’a surpris.
Un faux site web de Nubank demande l’égoïsme avec RG ou CNH
Cela ne s’est pas arrêté là : la page disait que mon appareil n’était pas autorisé, alors j’ai dû envoyer un selfie avec RG ou permis de conduire ( !). J’ai accédé au site de phishing à deux reprises : sur mon téléphone portable, j’ai envoyé une photo de mon bureau ; sur le bureau, j’ai envoyé une image du nouveau Xiaomi Mi 10 Pro.
Quelle que soit l’image que vous envoyez, le site vous demandera d’en envoyer une autre, en disant : “la photo sur laquelle vous devez tenir votre document à côté de votre visage (selfie) doit être prise par vous-même, sans vous couvrir le visage avec le document”.
Encore une fois, j’ai envoyé une photo de mon bureau (sur mon portable) et de Mi 10 Pro (sur le bureau). Dans les deux cas, le même message est apparu : “Votre demande de procédure de vérification auprès de la Nubank a abouti”.
Nubank recommande d’utiliser les canaux officiels
Si vous suspectez un phishing, Nubank fait cette suggestion sur son blog officiel : “contactez l’entreprise par les canaux de service officiels ou accédez à la page par votre navigateur, pas par le lien envoyé”.
La page du coup d’État a le domaine numérique nubank.ibacesso[…], enregistré en décembre 2019. Comme ce site semble être nouveau, Google Chrome ne prévient toujours pas qu’il s’agit d’une escroquerie : dans ce cas, le navigateur affiche généralement une alerte en rouge.
Dans Firefox, je ne pouvais pas ouvrir la page. J’ai reçu une erreur d’accès 1020 refusé avec un avertissement de Cloudflare : “ce site utilise un service de sécurité pour se protéger contre les attaques en ligne. Est-il mou ?
