Fraude aux couleurs de Canal +

Posted On 07 Avr 2022

Tag: canal +, filoutage, fraude, hameçonnage, kadéos, phishing

La chaîne à péage Canal + exploitée dans une fraude informatique détectée par ZATAZ. Un chèque cadeau est annoncé. Gare à la banqueroute.

Depuis quelques heures, ZATAZ a repéré une fraude électronique aux couleurs du groupe media CANAL +. Le courriel s’affiche comme étant un « Cheque Cadeau MyCANAL« . La missive explique que vous êtes le récipiendaire d’un chèque cadeau d’une valeur de 60 euros. Un chèque que vous pouvez utiliser dans 490 enseignes et site web en partenariat avec la société Kadéos Edenred.

Tout a commencé lors de la mise en ligne, dans un espace pirate, d’une base de données comprenant plus d’un million d’adresses électroniques et mots de passe. Une fusion de données de connexion sous forme de combo. Les pirates ont exploité ce contenu pour diffuser leur courriel aux couleurs des deux entreprises usurpées.

En cliquant sur le lien, les pirates vous orientent vers deux sites web. Le premier a pour mission de contrer les antispams et autres filtres cybersécurité : p*chikamiraxs*com. Ce dernier dirige l’internaute vers la page cheaquecadeaucanl*com/mycanal/. Ici, les pirates font appel à la feignantise de notre cerveau. Il manque des lettres dans l’adresse web : « canal » qui est écrit « canl » et « chéque cadeau » qui est écrit « cheaque ». Le /mycanal/, dernier élèment lu, finit par convaincre les plus avides de bonnes affaires.

La première étape malveillante est de collecter votre mail et mot de passe de votre compte MyCanal. A noter que le pirate récupère aussi dans la foulée votre ip et votre navigateur. La page suivante affiche, non plus un bon d’achat de 60€, mais de 100€. Soit nous avons à faire à un incompétent, pousse bouton, utilisateur d’un kit phishing qu’il ne maitrise pas, soit l’action est très maline. Le montant prenant la place dans la réflexion de lecteur. Le cerveau ne voit plus que la somme, pas les actions demandées.

Finalité de l’action, comme pour le cas de la fraude à la nouvelle carte vitale, récupérer les données bancaires de l’internaute en lui expliquant un envoi postal qui demande quelques euros.

A noter que j’ai découvert que le pirate, derrière cette fraude Canal +, visait aussi les clients FNAC, CDiscount, Boulanger, Amazon, Rakuten et Sephora.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.