Free : vague de phishing exploitant de vrais IBAN volés après la cyberattaque
Free : vague de phishing exploitant de vrais IBAN volés
Free a publié cette semaine une alerte adressée à ses abonnés : une campagne de phishing sophistiquée utilise des e-mails contenant le véritable IBAN des destinataires, rendu public lors de la cyberattaque d’octobre 2024. L’opérateur met en garde contre une démarche particulièrement crédible – et donc dangereuse.
Rappel des faits
Il y a un peu plus d’un an, un pirate a réussi à infiltrer les systèmes de Free en trompant par téléphone des employés, se faisant passer pour le service informatique. Des agents du service client ont ainsi communiqué leurs identifiants, permettant au malfaiteur d’accéder à la base de données clients.
Le vol a touché 19 millions de comptes : noms, prénoms, adresses, numéros de téléphone et, surtout, environ 5 millions d’IBAN complets. Ces données ont ensuite circulé et ont été réutilisées par des escrocs.
Une campagne de phishing d’un réalisme alarmant
La campagne signalée reproduit fidèlement l’identité visuelle de Free et ne présente pas les signes classiques d’une arnaque (logos pixellisés, fautes grossières, mise en page bâclée). L’élément qui la rend encore plus pernicieuse : l’e-mail affiche l’IBAN réel du destinataire et invoque une » nouvelle réglementation européenne » exigeant une vérification urgente. Ce prétexte vise à pousser l’utilisateur à cliquer et à déclencher le processus frauduleux.
Recommandations de Free
Free rappelle qu’un opérateur ne communique jamais par e-mail les coordonnées bancaires complètes de ses clients (IBAN, code BIC, nom de banque). Si vous recevez un message de ce type, l’opérateur l’assimile à une arnaque. Voici les gestes à adopter :
- Ne cliquez sur aucun lien ni n’activez aucune pièce jointe contenue dans l’e-mail.
- Signalez le message via le service Signal Spam.
- Supprimez le courriel.
Plus généralement, cette affaire illustre la difficulté à contenir les conséquences d’une fuite de données : une fois divulguées, les informations personnelles peuvent réapparaître et être exploitées longtemps après l’incident initial.
Articles connexes
Australie : 16 ans minimum pour publier sur les réseaux sociaux, la nouvelle règle entre en vigueur
Australie : 16 ans minimum pour publier sur les réseaux sociaux, la nouvelle règle entre en vigueurCe qui changeÀ partir du 10 décembre, les internautes australiens de moins de 16 ans ne pourront plus publier, commenter ou participer à des discussions sur les réseaux sociaux. La loi, votée l’an dernier, relève l’age minimum de trois […]
Meta gagne en justice : acquisitions d’Instagram et WhatsApp jugées légales
Meta gagne en justice : acquisitions d’Instagram et WhatsApp jugées légalesUn juge fédéral a statué en faveur de Meta Platforms en décidant que les rachats d’Instagram et de WhatsApp ne violaient pas les lois antitrust et n’ont pas constitué un monopole illégal dans les services sociaux. La décision, rendue par le juge James E. Boasberg […]
Brésil: Operation Endpoint démantèle un empire IPTV et met hors service 118 sites
Brésil: Operation Endpoint démantèle un empire IPTV et met hors service 118 sitesTrois des services IPTV les plus répandus d’Amerique du Sud ont ete neutralises simultanement au Bresil lors d’une operation coordonnee menee par le Gaeco. L’operation, nommee « Operation Endpoint », visait a demanteler un reseau pirate devenu si massif qu’il fonctionnait presque comme un operateur […]