Piratage de comptes Vinted : une histoire de combos
Des dizaines d’internautes ont été alertés après avoir constaté que leur compte Vinted avait été piraté. Voici les méthodes employées par les hackers malveillants pour vous faire chanter !
Le printemps est là, les oiseaux voleurs (coucous) sont de sortie, tout comme les pirates informatiques ! Depuis quelques jours, plusieurs clients et vendeurs de la boutique en ligne Vinted (23 millions de Français y ont commercé au moins une fois) ont été alarmés en voyant leur compte « vendeur » infiltré. Deux cas ont été identifiés.
Dans le premier cas, les hackers malveillants ont modifié les informations bancaires et ont effectué des prélèvements bancaires sur les cagnottes.
Chaque utilisateur de Vinted peut constituer une cagnotte, en gardant une partie de l’argent provenant de ses ventes pour acquérir de nouveaux vêtements d’occasion. Les pirates ont rapidement compris qu’il s’agissait d’une tirelire facile à atteindre et n’ont pas hésité à s’en emparer !
Dans le second cas, certains utilisateurs ont constaté la présence d’images malveillantes sur leur compte. Plusieurs possibilités sont envisageables : il peut s’agir de plaisantins en quête de sensations fortes, de pirates testant les propriétaires de compte pour voir à quelle vitesse ils se rendent compte de l’infiltration de leur boutique, d’un test de Vinted pour retirer les documents, ou encore d’un chantage : « Si tu veux récupérer ton compte, tu dois me payer, sinon je diffuse des images inappropriées et tu seras banni de ton compte« . Il va sans dire que l’image de marque du vendeur a également été gravement atteinte.
Mais comment opèrent les pirates ?
La cyberattaque subie par les clients de Vinted a été minutieusement préparée. Les pirates ont agi en France, en Italie et en Espagne. Comme je l’ai montré dans l’émission cyber de ZATAZ, avant que la presse ne s’empare de l’affaire, la méthode des pirates est malheureusement très simple.
Tout d’abord, ils récupèrent des millions d’adresses électroniques. Ces adresses seront utilisées pour envoyer des emails de phishing, des emails qui tentent de récupérer les identifiants de connexion (adresse email et mot de passe) en utilisant de faux sites web aux couleurs de Vinted.
Une fois ces informations collectées, les pirates les fusionnent avec d’autres paquets d’identifiants. Pour cela, ils achètent ou trouvent des combos sur le marché noir, des fichiers texte pouvant contenir des centaines de millions d’identifiants de connexion.
Début mars, je vous montrais une découverte du Service Veille ZATAZ : un pirate diffusait pas moins de 3 millions de données appartenant à des Français. ou encore ces 2 millions de données bancaires offertes par un pirate pour vanter sa boutique en ligne de vente de données bancaires.
Une fois cette collecte terminée, le pirate n’a plus qu’à tester les accès possibles à Vinted, mais aussi à d’autres sites web. Le pirate espère que ses victimes utilisent le même email et le même mot de passe sur plusieurs sites. « Quitte à avoir un pigeon, autant le plumer jusqu’au bout ! » m’a confié un pirate que j’ai rencontré récemment sur un forum pirate hispanique.
Il existe également des logiciels qui automatisent la recherche d’espaces clients accessibles à partir des accès piratés.
Pour Vinted, entre les emails de phishing et les combos, les pirates n’ont plus qu’à se régaler comme je vous le montre, le 23 mars, dans le 20 heures de France 2.
Comment se protéger ?
C’est aussi simple que 1 + 1 = 2. Il est recommandé d’utiliser un mot de passe différent pour chaque site web que vous utilisez. Si possible, utilisez également une adresse email différente pour chaque compte. Changez régulièrement vos mots de passe, au moins une fois tous les trois mois. Soyez vigilant en ce qui concerne les courriels, les SMS et les appels téléphoniques que vous pouvez recevoir. Les entreprises ne vous demanderont jamais, par exemple, un code de double authentification. Elles n’en ont pas besoin. Si vous souhaitez vous rassurer, ZATAZ vous propose son service de veille, qui vous alerte en cas de fuite de données passées, mais aussi en cas de problèmes dans le futur.