{"id":18996,"date":"2022-06-13T16:51:55","date_gmt":"2022-06-13T14:51:55","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=18996"},"modified":"2022-06-13T16:51:55","modified_gmt":"2022-06-13T14:51:55","slug":"wise-transferwise-phishing","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/wise-transferwise-phishing\/18996\/","title":{"rendered":"Les utilisateurs de Wise sont victimes d’hame\u00e7onnage"},"content":{"rendered":"

Les cybercriminels envoient souvent des messages d\u2019hame\u00e7onnage en se faisant passer pour des entreprises connues. Ils cherchent avant tout \u00e0 obtenir les comptes personnels des utilisateurs, leur num\u00e9ro de t\u00e9l\u00e9phone ou toute autre information utile pour lancer une arnaque ou pour prendre le contr\u00f4le du compte. \u00c9videmment, les clients d\u2019organisations financi\u00e8res comme les banques<\/a>, les plateformes d\u2019\u00e9change de cryptomonnaie<\/a>, les syst\u00e8mes de paiement ou autres sont les cibles les plus int\u00e9ressantes pour les cybercriminels.<\/p>\n

Cette fois, nous avons d\u00e9tect\u00e9 une m\u00e9thode d\u2019hame\u00e7onnage qui se sert du service financier en ligne Wise, jusqu\u2019\u00e0 r\u00e9cemment TransferWise, qui compte des millions d\u2019utilisateurs. Dans cet article, nous analysons son d\u00e9veloppement et nous vous expliquons comment \u00e9viter le vol de vos donn\u00e9es et comment ne pas \u00eatre victime d\u2019une arnaque.<\/p>\n

\u00c0 propos de Wise<\/h2>\n

Pourquoi Wise\u00a0? Ce n\u2019est pas seulement parce que les gens lui confient leur argent. Jusqu\u2019\u00e0 r\u00e9cemment, l\u2019entreprise s\u2019appelait TransferWise et son activit\u00e9 principale \u00e9tait d\u2019offrir des virements transfrontaliers \u00e0 prix bas. En 2021, l\u2019entreprise a \u00e9toff\u00e9 son offre de services<\/a> en incluant, entre autres, les virements internationaux, les comptes multidevises et les cartes de d\u00e9bit.<\/p>\n

Dans le cadre de ce changement d\u2019image, Wise a supprim\u00e9 le mot \u00a0\u00bb\u00a0Transfer\u00a0\u00a0\u00bb de son nom. C\u2019est \u00e0 ce moment-l\u00e0 que les cybercriminels sont entr\u00e9s en jeu, puisqu\u2019ils ont d\u00e9cid\u00e9 de profiter de la confusion g\u00e9n\u00e9r\u00e9e par ce changement de nom.<\/p>\n

Le fonctionnement de l\u2019arnaque<\/h2>\n

L\u2019attaque commence avec un e-mail d\u2019hame\u00e7onnage soi-disant envoy\u00e9 par l\u2019\u00e9quipe d\u2019assistance de Wise. Ce message explique \u00e0 la victime qu\u2019\u00e0 cause du changement de nom elle doit \u00a0\u00bb\u00a0migrer son compte vers la nouvelle plateforme\u00a0\u00ab\u00a0.<\/p>\n

\"Message

Message soi-disant envoy\u00e9 par Wise \u00e0 propos de la migration du compte vers la nouvelle plateforme<\/p><\/div>\n

Si l\u2019utilisateur ne fait pas attention, il peut facilement croire que le message est authentique puisque wise.com appara\u00eet dans le champ avec le nom de l\u2019exp\u00e9diteur, et que le corps du message contient le logo de l\u2019entreprise et la marque d\u00e9pos\u00e9e du drapeau bleu. Pourtant, si on analyse ce message de plus pr\u00e8s, plusieurs signaux donnent l\u2019alerte\u00a0: l\u2019adresse de l\u2019exp\u00e9diteur est faite de chiffres choisis au hasard et de mots qui n\u2019ont aucun lien avec Wise, et le domaine appartient \u00e0\u2026 Moringa School<\/a> au Kenya\u00a0! Le texte regorge d\u2019erreurs et de fautes de frappe, ce qu\u2019une entreprise reconnue n\u2019accepterait pas.<\/p>\n

Ce message comprend \u00e9galement deux liens\u00a0: un qui ouvre soi-disant le nouveau site, et un autre pour contacter l\u2019exp\u00e9diteur. En r\u00e9alit\u00e9, les deux liens ouvrent la m\u00eame page, et cette derni\u00e8re redirige automatiquement la victime vers un autre site d\u2019hame\u00e7onnage.<\/p>\n

Ce site d\u2019hame\u00e7onnage est beaucoup plus convaincant que l\u2019e-mail. On y trouve le m\u00eame message de bienvenue et la m\u00eame mise en page que le site officiel de Wise. On ne d\u00e9tecte que deux diff\u00e9rences\u00a0: l\u2019image \u00e0 gauche et l\u2019URL. Cette derni\u00e8re affiche contre toute attente le nom d\u2019une application obscure<\/a> qui permet de trouver des restaurants et des services \u00e0 prix r\u00e9duit. C\u2019est \u00e0 ce moment-l\u00e0 que les cybercriminels demandent \u00e0 l\u2019utilisateur de saisir son adresse e-mail et son mot de passe pour se connecter \u00e0 son compte.<\/p>\n

\"Version

Version d\u2019hame\u00e7onnage de la page de connexion de Wise<\/p><\/div>\n

Les identifiants de connexion ne sont pas les seules informations personnelles recueillies : apr\u00e8s avoir \u00a0\u00bb accept\u00e9 \u00a0\u00bb l\u2019adresse e-mail et le mot de passe (qu\u2019ils soient vrais ou faux comme il n\u2019y a aucune v\u00e9rification), le site demande \u00e0 la victime d\u2019indiquer son num\u00e9ro de t\u00e9l\u00e9phone. D\u2019ailleurs, le site officiel de Wise ne vous demande pas votre num\u00e9ro de t\u00e9l\u00e9phone.<\/p>\n

\"Enfin,

Enfin, les cybercriminels demandent \u00e0 l\u2019utilisateur de saisir son num\u00e9ro de t\u00e9l\u00e9phone<\/p><\/div>\n

Lorsque l\u2019utilisateur clique sur le bouton pour continuer, le site semble planter. Pendant que les donn\u00e9es sont envoy\u00e9es aux cybercriminels, la victime ne voit qu\u2019un logo qui tourne et le mot \u00a0\u00bb\u00a0loading<\/em>\u00a0\u00ab\u00a0.<\/p>\n

\"La

La page d\u2019hame\u00e7onnage est perdue dans ses pens\u00e9es<\/p><\/div>\n

Si l\u2019utilisateur s\u2019impatiente et clique \u00e0 nouveau sur le bouton Continuer, il est redirig\u00e9 vers le site officiel de Wise. Ainsi, m\u00eame si l\u2019utilisateur remarque qu\u2019il y a un probl\u00e8me et v\u00e9rifie l\u2019URL, il ne pourra pas se rendre compte que les cybercriminels poss\u00e8dent ses donn\u00e9es et il continuera \u00e0 naviguer normalement.<\/p>\n

\"L'utilisateur

L\u2019utilisateur peut \u00e9ventuellement \u00eatre redirig\u00e9 vers le site officiel de Wise<\/p><\/div>\n

O\u00f9 les donn\u00e9es sont envoy\u00e9es<\/h2>\n

Il semblerait que les cybercriminels sont surtout int\u00e9ress\u00e9s par les num\u00e9ros de t\u00e9l\u00e9phone. Ils les collectent certainement dans des bases de donn\u00e9es et les revendent aux escrocs pour des arnaques au t\u00e9l\u00e9phone. Les comptes compromis leur permettent d\u2019obtenir plus de renseignements<\/a> sur l\u2019utilisateur, notamment son nom, son pr\u00e9nom et son adresse. Les escrocs sont beaucoup plus convaincants s\u2019ils poss\u00e8dent ces informations.<\/p>\n

Comment vous prot\u00e9ger<\/h2>\n

Suivez quelques r\u00e8gles simples de cybers\u00e9curit\u00e9<\/a> pour prot\u00e9ger vos donn\u00e9es et pour ne pas mordre \u00e0 l\u2019hame\u00e7on.<\/p>\n