Sécurité

Une arnaque sophistiquée de phishing tente de voler le numéro de carte de crédit et le mot de passe d’Itaú

Un site de phishing utilise un domaine apparemment légitime pour voler les numéros de carte de crédit Itaucard, la date d’expiration, le code de sécurité, le mot de passe et le CPF. L’adresse est en HTTPS et ne semble pas suspecte, mais elle a été enregistrée hors de France. En outre, la page vérifie si le numéro de carte et le numéro CPF sont valides. Itaú a déjà demandé le retrait, mais il reste à l’antenne.

J’ai reçu un SMS ce lundi (11) soir disant : “essayez d’utiliser votre ITAUCARD, vérifiez votre relevé dans itaucard […] digital”. (Le lien était cliquable dans le message ; nous avons mis les parenthèses pour des raisons de sécurité). Je n’ai pas de carte de crédit Itaucard, donc je savais que c’était une arnaque.

Cependant, c’est l’un des meilleurs coups que j’ai jamais vu. Commençant par l’URL : il n’utilise pas de tirets (comme itaucard-digital[…]com) ou de chaînes de caractères étranges (comme itaucard.swhzjgswb[…]com) ? signes courants d’une URL trompeuse.

En outre, le site utilise le HTTPS. Il dispose d’un certificat SSL Let’s Encrypt, qui peut être acheté gratuitement si vous prouvez que vous avez le contrôle d’un domaine web. Le protocole TLS 1.2 et le cryptage AES 256 bits sont pris en charge.

Vous trouverez le cadenas verrouillé dans la barre d’adresse ; Chrome, Firefox et Microsoft Edge avertissent que “la connexion est sécurisée”. C’est vrai : les données que vous saisissez sur la page seront transmises au serveur sous forme cryptée ? la connexion sera protégée, mais le site n’est pas sécurisé.

  RUTE : un kit pédagogique électronique bon marché (et fabriqué en France)

C’est plus courant qu’il n’y paraît : selon le cabinet de conseil en sécurité PhishLabs, 49 % des sites de phishing ont utilisé le HTTPS au troisième trimestre 2018.

Un site de phishing vérifie si le numéro de carte est valide

Et ce n’est pas tout : le site vérifie si vous avez saisi un numéro de carte de crédit valide ; si ce n’est pas le cas, il émet un message d’erreur. De nombreuses campagnes de phishing ne se soucient pas de ce détail et acceptent n’importe quelle séquence de chiffres.

Le fonctionnement est le suivant : les cartes de crédit, de débit et de fidélité comportent 16 numéros. Le dernier d’entre eux est un chiffre de contrôle, généré par l’algorithme de Luhn, pour s’assurer que la carte est valide. La page dispose d’un code JavaScript spécifique pour calculer ce chiffre de vérification et vérifier qu’il est correct.

Il en va de même pour le CPF : un code JavaScript permet de vérifier si les chiffres de contrôle sont corrects. De plus, la page utilise la police Roboto, le standard d’Android.

Après avoir saisi le numéro de la carte et le mot de passe, le site vous demandera le code de sécurité, la date d’expiration et votre CPF. Après cela, vous recevez le message: “Félicitations ! Votre inscription a été réussie. Un SMS de confirmation de votre inscription vous sera envoyé”. Enfin, vous êtes redirigé vers le site officiel d’Itaú.

  Le WiFi Test Hotel vous permet de choisir des hôtels à partir de la vitesse du réseau WiFi

Il est à noter qu’avec un peu d’expérience dans le développement web, il ne serait pas aussi difficile de créer un site de phishing comme celui-ci. Il est facile de trouver l’algorithme de Luhn et le validateur CPF en JavaScript sur Internet ; en outre, l’obtention d’un certificat HTTPS est gratuite et facile à mettre en œuvre grâce à Let’s Encrypt. Le plus difficile est peut-être d’obtenir une URL qui semble légitime.

Un site de phishing a un domaine enregistré hors de France

Le domaine numérique Itaucard […] a été enregistré le 7 janvier 2019 par l’intermédiaire de Subreg.CZ, un bureau d’enregistrement en République tchèque. Les données du propriétaire sont cachées ; son nom, son adresse physique, son e-mail et son numéro de téléphone portent la mention “EXPURGÉ POUR des raisons de confidentialité”.

Il existe une adresse électronique pour signaler les abus. Nous avons contacté Subreg.CZ, et avons eu la réponse suivante : “votre message a été considéré comme suspect et a été fermé”. Il y avait également un lien d’authentification pour poursuivre le processus. Nous avons cliqué dessus et avons reçu le message suivant : “nous allons enquêter sur ce problème d’abus avec le client qui gère le domaine”.

  Les comptes Instagram sont piratés et liés à des courriels russes

Itaú a demandé le retrait de la fausse page

La semaine dernière, la page a été signalée à Itaú via Twitter, mais elle reste à l’antenne.

PerlmOl a contacté Itaú, qui a demandé la suppression de la fausse page au bureau d’enregistrement du domaine. La société déclare : “nous ne mesurerons pas les efforts déployés pour retirer le site de l’air”. Elle dispose également de systèmes qui détectent les liens malveillants attribués à tort à la banque.

C’est le positionnement que nous avons reçu :

Depuis qu’il a détecté le cas, Itaú Unibanco a demandé à plusieurs reprises au fournisseur (qui maintient le site en ligne) et au titulaire (le propriétaire du domaine) de supprimer la fausse page. Nous suivons de près ce processus et ferons tout notre possible pour que le site soit retiré de l’air.

L’institution utilise des systèmes de sécurité dédiés à la détection et à la suppression des pages et des liens malveillants attribués à tort à Itaú Unibanco. Tout client qui remarque des canaux, des e-mails et d’autres messages suspects peut les signaler par e-mail à notre canal de traitement du phishing : .

Itaú Unibanco rappelle qu’elle n’engage pas ses clients à demander des données pour la confirmation de la carte, le réenregistrement du jeton ou des informations personnelles.

Mise à jour à 18h19 avec le positionnement Itaú.

A propos de l'auteur

Zineb

Zineb

Enseignante en lycée, je m'intéresse à tout ce qui touche aux nouvelles technologies. #teamMac sur PerlmOl (je ne me sépare d'ailleurs jamais non plus de mon Iphone).

Laisser un commentaire