Arnaque aux couleurs d’Orange, plusieurs millions de victimes potentielles !

Posted On 12 Mar 2022

Tag: arnaque, email, filoutage, fuite, hameçonnage, infiltration, phishing

L’opérateur Orange fait face à une vague de faux courriels à ses couleurs vous annonçant la possibilité de recevoir gratuitement un nouveau smartphone. ZATAZ vous décortique cette arnaque dont le potentiel malveillant est de plusieurs millions de victimes possibles.

Vous avez toujours rêvé de posséder un smartphone de dernière génération, sans payer le moindre euro ? Souriez, l’opérateur télécom Orange vous écrit pour vous annoncer être en possession d’assez de points de fidélité pour recevoir gratuitement un iPhone 13, un Samsung Ultra, etc. Bien évidement, ne tombez pas dans le panneau. Cette alléchante annonce qui vous parvient par courrier électronique est une missive usurpatrice, se faisant passer pour l’opérateur français.

Marketing de la malveillance

Si le phishing n’est pas nouveau, le sujet et la méthode d’approche le sont un peu plus. Mission du pirate : récupérer les informations que vous allez lui fournir. Attention, ici je ne parle pas de votre adresse électronique, le pirate l’a possède déjà. Il n’a écrit, pour le cas Orange, qu’aux internautes dont l’adresse se termine par @orange.fr et @wanadoo.fr. Un ciblage qui lui permet de s’assurer de l’écoute de ses victimes. Orange qui écrit à des clients Orange parait logique dans l’esprit des cibles. Je vais d’ailleurs vous expliquer comment, si dessous, il a pu si bien cibler sa zone de chalandise malveillante.

Itinéraire d’une cyberattaque visant des clients de l’opérateur Orange. Cliquer pour aggrandir.

Ce blacknaute intercepte donc ce que vous allez lui fournir : nom, prénom, adresse postale, téléphone, mot de passe, etc. Mais en plus, selon que ce ZATAZ a pu intercepter : IP, géolocalisation, navigateur utilisé, OS exploité sur l’ordinateur utilisé par l’internaute, etc.

Ces derniers éléments numériques serviront plus tard dans une cyber approche plus directe et plus ciblée. L’OS est-il à jour ? L’internaute vit-il dans une zone géographique monétisable ? L’IP appartient-il à un client Orange ? Bref, des tas de questions qui permettent au pirate d’avoir une réponse simple (Basic!) : va-t-il perdre du temps avec sa future victime ?

D’où proviennent les courriels exploités par le pirate ?

Depuis quelques semaines, le Service Veille de ZATAZ (Abonnement ICI) alerte ses abonnés d’une explosion de ventes, d’échanges et d’achats de comptes d’internautes français. Dans l’émission Twitch de ZATAZ (Le dimanche à 15h), je vous montrais quelques exemples dont cette base de données que j’ai pu constater et analyser pour le compte du Service Veille ZATAZ de 10,4 million de données appartenant à des français. Des informations exfiltrées de bases de données de sites piratés, d’hameçonnages, de données oubliées sur la toile, de partage/vente dans le darkweb, etc.

Autant dire que le ratio du pirate est vite trouvé. Une telle base de données se commercialise, en moyenne, 300 US $. Imaginons 1% des 1,4 million de personnes tombe dans un piège numérique. Voilà le pirate en possession de 14 000 victimes. Si nous tablons, en moyenne, à un détournement de 150€ par cibles. Le pirate aura déboursé 300€ pour un gain estimé de 2 100 000€.

Bref, à la question, pourquoi les pirates font toujours autant de phishing ? Je crois que vous avez votre réponse !

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.