Pourquoi recevez-vous tous ces e-mails frauduleux Yeti Cooler Giveaway dans votre boîte de réception Gmail

Quelqu’un prétendant appartenir à Kohl veut vraiment m’offrir une belle cocotte Le Creuset orange.

L’e-mail indique toujours qu’il s’agit de la deuxième tentative de la chaîne de grands magasins pour me joindre, même si je pense que c’est plutôt la 50e, car j’ai reçu cet e-mail de nombreuses fois au cours des derniers mois. Vous aussi probablement. Peut-être que ce n’est pas de chez Kohl. Peut-être que ça vient de Dick’s Sporting Goods ou de Costco. Quelle que soit la personne dont il prétend provenir, le résultat est le même : vous cliquez sur un lien, remplissez une sorte d’enquête et êtes invité à entrer les informations de votre carte de crédit pour couvrir les frais d’expédition de votre refroidisseur Yeti gratuit, Samsung Smart TV, ou ce four hollandais Le Creuset.

Alerte spoiler : Il n’y a pas de “prix fantastique” qui vous attend de l’autre côté de cet e-mail frauduleux.

Ces articles ne viendront jamais, bien sûr. Ces e-mails sont tous des escroqueries par hameçonnage ou des e-mails prétendant provenir d’une personne ou d’une marque que vous connaissez et en laquelle vous avez confiance afin d’obtenir des informations de votre part. Dans ce cas, il s’agit de votre numéro de carte de crédit. Cette dernière campagne est particulièrement efficace pour échapper aux filtres anti-spam. C’est pourquoi vous avez peut-être remarqué un si grand nombre de ces e-mails dans votre boîte de réception au cours des derniers mois. Le fait qu’ils aient accédé à votre boîte de réception en premier lieu ainsi que la présentation réaliste des e-mails et des sites Web auxquels ils renvoient les rendent plus convaincants que l’e-mail frauduleux typique. Ces attaques s’intensifient également généralement pendant la période des fêtes. Voici donc ce à quoi vous devez faire attention.

“Grinch reçoit du charbon des sociétés de sécurité et des adresses IP bloquées pour Noël, et cela se traduit par plus de spam avec une architecture de saut de domaine entrant dans vos boîtes de réception”, a déclaré Zach Edwards, chercheur en sécurité, à Recode. L’architecture de saut de domaine est la série de redirections qui acheminent le trafic des utilisateurs sur plusieurs domaines pour aider les escrocs à cacher leurs traces et à détecter et bloquer les mesures de sécurité potentielles.

Akamai Security Research a identifié la campagne d’escroquerie dans un rapport récent. L’idée de base derrière l’escroquerie elle-même – prétendre être une marque bien connue et offrir un prix en échange de certaines informations personnelles – n’est pas nouvelle. Akamai suit ce genre d’arnaques depuis un certain temps. Mais la version de cette année est nouvelle et améliorée.

« Cela reflète la compréhension de l’adversaire du fonctionnement des produits de sécurité et de la façon de les utiliser à son avantage », a déclaré Or Katz, principal chercheur en sécurité chez Akamai.

Un exemple d'e-mail frauduleux prétendant provenir de Costco.  Il présente une femme dans une pose de yoga devant un téléviseur à grand écran et il se lit comme suit :

Désolé, mais vous devrez acheter un téléviseur Samsung chez Costco comme tout le monde. Cette enquête essaie simplement de voler les informations de votre carte de crédit.

Fondamentalement, ces escrocs déploient de nombreuses astuces techniques pour échapper aux scanners et passer à travers les filtres anti-spam dans les coulisses. Ceux-ci incluent (mais ne sont pas limités à) l’acheminement du trafic via une combinaison de services légitimes, comme Amazon Web Services, qui est l’URL vers laquelle plusieurs des e-mails frauduleux que j’ai reçus semblent renvoyer. Et, a déclaré Edwards, les mauvais acteurs peuvent identifier et bloquer les adresses IP des outils de détection d’escroquerie et de spam connus, ce qui les aide également à contourner ces outils.

Akamai a déclaré que la campagne de cette année comprenait également une nouvelle utilisation des identifiants de fragments. Vous les verrez sous la forme d’une série de lettres et de chiffres après un signe dièse dans une URL. Ils sont généralement utilisés pour envoyer des lecteurs vers une section spécifique d’un site Web, mais les escrocs les utilisaient pour envoyer leurs victimes vers des sites Web complètement différents. Et certains services de détection d’arnaques ne scannent pas ou ne peuvent pas scanner les identifiants de fragments, ce qui les aide à échapper à la détection, selon Katz. Cela dit, Google a déclaré à Recode que cette méthode particulière ne suffisait pas à elle seule pour contourner ses filtres anti-spam.

“Ce que nous voyons dans cette recherche récemment publiée, ce sont de nouvelles techniques sophistiquées utilisées, indiquant l’évolution de l’escroquerie, reflétant l’intention de l’adversaire de rendre ses attaques difficiles à détecter et à classer comme malveillantes”, a déclaré Katz. “Et, comme on peut le voir, ça marche !”

Mais vous ne voyez rien de tout cela. Vous ne voyez que les e-mails. Au mieux, ils sont ennuyeux, et au pire, ils pourraient vous inciter à donner les détails de votre carte de crédit à des personnes qui utiliseront vraisemblablement ces informations pour acheter beaucoup de choses sur votre onglet. Le fait qu’ils se trouvent dans votre boîte de réception en premier lieu ajoute un vernis de légitimité, et ces e-mails et les sites Web qu’ils envoient aux victimes ont une meilleure apparence et peuvent donc être plus convaincants que certaines tentatives de phishing typiques. Ils semblent également changer selon la saison ou la période de l’année. Les exemples d’Akamai, qu’il a collectés il y a des semaines, ont un thème d’Halloween. Des e-mails de phishing plus récents envoient les utilisateurs vers un site Web proposant un “Black Friday Special”.

“Les bannières de vacances littérales sont uniques, c’est donc un ajout nouveau et cool”, a déclaré Edwards.

Un exemple de site Web frauduleux prétendant offrir un prix de Dick's Sporting Goods.  Il y a une photo d'une glacière Yeti et on peut lire : « Dick's Sporting Goods, 21 novembre 2022. Félicitations !  Vous avez été choisi pour recevoir un tout nouveau refroidisseur Yeti M20 !  Pour réclamer, répondez simplement à quelques questions rapides concernant votre expérience avec nous.  Attention, cette offre de sondage expire aujourd'hui, le 21 novembre 2022. Commencez le sondage.

Dick’s Sporting Goods ne donne pas un Yeti Cooler, même si vous remplissez un sondage.

Et tout est déployé à une échelle apparemment massive, c’est pourquoi la plupart des gens qui lisent ceci ont probablement reçu non seulement un de ces e-mails, mais une avalanche d’entre eux, s’étendant sur une période de plusieurs mois.

Ou, comme l’un de mes collègues me l’a dit lorsqu’elle m’a transmis un exemple d’un seul des nombreux e-mails frauduleux qu’elle a reçus dans sa boîte de réception Gmail : “aide”.

Un porte-parole de Google a déclaré à Recode que l’entreprise était au courant de la campagne “particulièrement agressive” et prenait des mesures pour l’arrêter.

“Nos équipes de sécurité ont identifié que les spammeurs utilisent l’infrastructure d’une autre plate-forme pour ouvrir la voie à ces messages abusifs”, ont-ils déclaré. « Cependant, alors même que les tactiques des spammeurs évoluent, Gmail bloque activement la grande majorité de cette activité. Nous sommes en contact avec l’autre fournisseur de plate-forme pour résoudre ces vulnérabilités et travaillons dur, comme toujours, pour garder une longueur d’avance sur les attaques.

Google a également récemment publié un article de blog avertissant les utilisateurs des escroqueries courantes pendant la période des fêtes, et le faux cadeau figurait en tête de liste.

“Vous avez reçu une offre qui semble trop belle pour être vraie ? Réfléchissez à deux fois avant de cliquer sur un lien », a écrit Nelson Bradley, responsable de Google Workspace Trust and Safety.

Google a également noté qu’il bloque chaque jour 15 milliards de spams, ce qui, selon lui, représente 99,9% des spams, phishing et malwares envoyés à ses utilisateurs. Au cours des deux dernières semaines, a écrit Bradley, il y a eu une augmentation de 10 % des e-mails malveillants. Pour être juste, je pense qu’il y a plus de faux e-mails promotionnels de Kohl dans mon filtre anti-spam que dans ma boîte de réception.

Le porte-parole a ajouté que les utilisateurs de Gmail peuvent utiliser son outil “signaler le spam”, qui aide Google à mieux identifier et prévenir les futures attaques de spam. Au-delà de cela, la manière typique d’éviter de recevoir des conseils de phishing s’applique toujours. Vérifiez l’adresse e-mail de l’expéditeur et l’URL vers laquelle il renvoie. Ne divulguez pas vos informations personnelles, en particulier les mots de passe de votre compte ou vos numéros de carte de crédit. Prenez quelques secondes pour réfléchir à la raison pour laquelle Kohl’s déciderait au hasard de vous donner des ustensiles de cuisson Le Creuset ou Dick’s vous donnerait une glacière Yeti d’une valeur de centaines de dollars juste pour répondre à quelques questions d’enquête de base. La réponse est qu’ils ne le feraient pas.

Vous pouvez également passer votre Black Friday à acheter de vrais articles dans de vrais magasins (ou sur leurs vrais sites Web) et à donner les détails de votre carte de crédit à de vrais employés. Bonne chance là-bas; le porte-parole de Google a déclaré que la société s’attend à ce que la campagne d’escroquerie “se poursuive à un rythme élevé tout au long de la période des fêtes”. Donc, cela continuera presque certainement même après la fin du Black Friday.