Piratage de comptes Vinted : une histoire de combos

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS
Si vous aimez nos actus inédites, abonnez-vous à ZATAZ via Google News

Des dizaines d’internautes ont été alertés après avoir constaté que leur compte Vinted avait été piraté. Voici les méthodes employées par les hackers malveillants pour vous faire chanter !

Le printemps est là, les oiseaux voleurs (coucous) sont de sortie, tout comme les pirates informatiques ! Depuis quelques jours, plusieurs clients et vendeurs de la boutique en ligne Vinted (23 millions de Français y ont commercé au moins une fois) ont été alarmés en voyant leur compte « vendeur » infiltré. Deux cas ont été identifiés.

Dans le premier cas, les hackers malveillants ont modifié les informations bancaires et ont effectué des prélèvements bancaires sur les cagnottes.

Chaque utilisateur de Vinted peut constituer une cagnotte, en gardant une partie de l’argent provenant de ses ventes pour acquérir de nouveaux vêtements d’occasion. Les pirates ont rapidement compris qu’il s’agissait d’une tirelire facile à atteindre et n’ont pas hésité à s’en emparer !

Un pirate recherchait, il y a peu, des accès VINTED en « URGENCE ». – zataz.com

Dans le second cas, certains utilisateurs ont constaté la présence d’images malveillantes sur leur compte. Plusieurs possibilités sont envisageables : il peut s’agir de plaisantins en quête de sensations fortes, de pirates testant les propriétaires de compte pour voir à quelle vitesse ils se rendent compte de l’infiltration de leur boutique, d’un test de Vinted pour retirer les documents, ou encore d’un chantage : « Si tu veux récupérer ton compte, tu dois me payer, sinon je diffuse des images inappropriées et tu seras banni de ton compte« . Il va sans dire que l’image de marque du vendeur a également été gravement atteinte.

Les comptes piratés Vinted peuvent se vendre jusqu’à 15€ pièce.

Mais comment opèrent les pirates ?

La cyberattaque subie par les clients de Vinted a été minutieusement préparée. Les pirates ont agi en France, en Italie et en Espagne. Comme je l’ai montré dans l’émission cyber de ZATAZ, avant que la presse ne s’empare de l’affaire, la méthode des pirates est malheureusement très simple.

En octobre 2022, un pirate a vendu plusieurs milliers de comptes piratés Vinted. – zataz.com

Tout d’abord, ils récupèrent des millions d’adresses électroniques. Ces adresses seront utilisées pour envoyer des emails de phishing, des emails qui tentent de récupérer les identifiants de connexion (adresse email et mot de passe) en utilisant de faux sites web aux couleurs de Vinted.

Une fois ces informations collectées, les pirates les fusionnent avec d’autres paquets d’identifiants. Pour cela, ils achètent ou trouvent des combos sur le marché noir, des fichiers texte pouvant contenir des centaines de millions d’identifiants de connexion.

Début mars, je vous montrais une découverte du Service Veille ZATAZ : un pirate diffusait pas moins de 3 millions de données appartenant à des Français. ou encore ces 2 millions de données bancaires offertes par un pirate pour vanter sa boutique en ligne de vente de données bancaires.

Une fois cette collecte terminée, le pirate n’a plus qu’à tester les accès possibles à Vinted, mais aussi à d’autres sites web. Le pirate espère que ses victimes utilisent le même email et le même mot de passe sur plusieurs sites. « Quitte à avoir un pigeon, autant le plumer jusqu’au bout ! » m’a confié un pirate que j’ai rencontré récemment sur un forum pirate hispanique.

Il existe également des logiciels qui automatisent la recherche d’espaces clients accessibles à partir des accès piratés.

Pour Vinted, entre les emails de phishing et les combos, les pirates n’ont plus qu’à se régaler comme je vous le montre, le 23 mars, dans le 20 heures de France 2.

Certaines boutiques pirates [blackmarket] se sont spécialisés dans le « cagnottage ». – zataz.com

Comment se protéger ?

C’est aussi simple que 1 + 1 = 2. Il est recommandé d’utiliser un mot de passe différent pour chaque site web que vous utilisez. Si possible, utilisez également une adresse email différente pour chaque compte. Changez régulièrement vos mots de passe, au moins une fois tous les trois mois. Soyez vigilant en ce qui concerne les courriels, les SMS et les appels téléphoniques que vous pouvez recevoir. Les entreprises ne vous demanderont jamais, par exemple, un code de double authentification. Elles n’en ont pas besoin. Si vous souhaitez vous rassurer, ZATAZ vous propose son service de veille, qui vous alerte en cas de fuite de données passées, mais aussi en cas de problèmes dans le futur.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.