L’affaire se précise. Une campagne de phishing par mail aux couleurs de Swile a touché le 17 novembre 2021 de nombreux utilisateurs du service de tickets restaurant. Le message était intitulé « Information Importante concernant votre compte ». La forme du message est très réaliste, et le style graphique épuré proche de celui de l’entreprise française.
Un mail d’arnaque et un faux site très réalistes
Le mail d’émission de cette arnaque, qui réussissait dans un premier temps à passer le filtre anti-spam de Gmail, est « noreply[at]corpo-swile[.]co », alors que les mails de l’entreprise viennent du domaine « swile.co ». Le corps du faux mail explique que le service doit « à nouveau vérifier votre profil afin d’assurer une meilleure sécurité de votre compte ». Juste en dessous, un bouton « Vérifier mon compte » renvoie à une copie parfaite du site de Swile.
Le site frauduleux était « http://co-swile[.]co/. », alors que le site officiel de Swile est « www.swile.co », une nuance discrète. La copie n’est aujourd’hui plus en ligne. Elle demandait les identifiants de votre compte, qui ne lui auraient toutefois pas permis d’accéder à votre carte déjeuner, mais cela compromet potentiellement vos autres comptes, si votre mot de passe est le même.
Sur Twitter, l’utilisateur derrière le compte « Ingé vacciné » dont des collègues ont été ciblés par la campagne de phishing explique avoir fouillé les différentes pages web du faux site. « Vu le niveau de la configuration, de la qualité du code et des références dans les fichiers, ça ressemble à des étudiants », nous indique-t-il. Ce dernier explique également avoir trouvé le fichier qui stockait les données personnelles récoltées par les pirates, et l’avoir transmis à l’entreprise.
Nous n’avons pas pu fouiller le site nous-mêmes avant sa mise hors ligne, mais Cyberguerre a pu consulter des captures d’écran des fichiers en question. On peut voir que les informations récoltées étaient l’adresse IP, le mail, le mot de passe, et d’autres éléments plus anecdotiques sur la machine utilisée, le navigateur.
Une réaction rapide, mais maladroite
L’entreprise a rapidement réagi à cette campagne dans un mail envoyé à une partie de ses utilisateurs, dont des membres de la rédaction de Numerama : « Une campagne de phishing (aussi appelé « hameçonnage ») est en cours. […] Cette campagne est opérée par un tiers qui se fait passer pour Swile dans le but de collecter des données de connexion. » L’entreprise conseillait également de changer son mot de passe, rappelant qu’une bonne hygiène informatique demander d’utiliser un mot de passe différent pour chacun de vos comptes.
Mais la campagne de communication de l’entreprise n’a pas été du goût de tout le monde. Son intitulé initial, « Important : votre compte Swile est exposé », rappelle plus une tentative d’arnaque qu’un mail d’avertissement (il a été modifié dans une seconde vague de mails). Le compte Twitter de Swile s’est d’ailleurs emmêlé les pinceaux en confirmant à un internaute que son mail officiel était bien… une campagne phishing. Certains utilisateurs ont même retrouvé cette campagne d’information dans la catégorie spams de leur boite Gmail.
« Pas une fuite de données »
Toutes les victimes qui ont reçu le phishing avec lesquelles Cyberguerre a échangé étaient clientes de Swile, une situation qui questionnait sur un ciblage particulier, et donc une potentielle fuite de données de la société. Interrogée par Cyberguerre, l’entreprise est catégorique et veut rassurer : des vérifications et un contrôle ont été réalisés par les équipes techniques, et « l’origine du phishing n’est pas une fuite de données ». Swile explique également faire son possible pour « désactiver les noms de domaine, les serveurs et les services d’envoi de mail utilisés pour l’attaque ».
D’après les éléments que Swile nous a communiqué, moins de 300 personnes seraient tombées dans le piège et les témoignages recueillis par leur service client incluent des personnes qui ont reçu la campagne de phishing sans être clients de l’entreprise. Cela invaliderait la thèse d’une fuite de données ou d’un scraping, c’est-à-dire la récolte d’adresses mails d’une partie des utilisateurs à cause d’un site ou d’une application où ces données seraient accessibles. Cyberguerre n’a toutefois pas pu vérifier directement ces déclarations.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !