20.000 SMS de phishing se faisant passer pour Guichet.lu détectés en une semaine

Faites-vous partie de ces personnes qui ont récemment reçu un SMS prétendant provenir de Guichet.lu et vous invitant à faire valoir un droit à une remise fiscale de quelques dizaines ou centaines d’euros ? Depuis quelques semaines, une vaste campagne de phishing SMS cible des numéros mobiles luxembourgeois en cherchant à se faire passer pour le portail citoyen de l’administration publique. Comme souvent à travers ce type d’attaques, l’objectif des cybercriminels est de récupérer des données, comme des noms d’utilisateurs, des mots de passe, des codes d’authentification, qu’ils pourront ensuite utiliser en vue de vous extorquer de l’argent. 

Entre 1500 et 6000 tentatives de phishing par jour 

POST, à l’aide de son outil Telecom Intrusion Detection System (TIDS) développé par son département CYBERFORCE, a pu mener une analyse approfondie de cette attaque de fishing usurpant l’identité de Guichet.lu. 

Au cours de la première semaine de janvier, nous avons détecté quelque 20.000 SMS frauduleux prétendument envoyés au nom du portail public et transitant par notre réseau mobile. Ces dernières semaines, entre 1500 et 6000 de ces messages ont été envoyés quotidiennement vers des numéros mobiles luxembourgeois au départ de diverses plateformes étrangères. Ces messages vous invitent à cliquer sur des URL contenant les mots « guichet », « my-guichet » ou « lux » dans l’optique de tromper l’utilisateur. Le fait que les numéros d’envoi et les sites web vers lesquels redirigent les liens changent sans cesse rend ces attaques particulièrement complexes à identifier et à contrecarrer.

Voici un exemple de SMS frauduleux : 

Voici un exemple d'un site web malveillant :

Voici un exemple de site web bloqué par Google Safe Browsring :

Un outil unique de détection des SMS frauduleux

Afin de pouvoir y répondre, l’outil de détection de ces attaques déployé par l’équipe de CYBERFORCE a recours au machine learning. Il opère une analyse du contenu des messages transitant par notre réseau dans l’optique de détecter les tentatives de fraude. L’approche est complètement automatisée. En s’appuyant sur la technologie d’intelligence artificielle, on peut garantir la confidentialité des contenus tout en opérant cette surveillance. 

Aucun humain n’accède au contenu des messages. Pour chaque message frauduleux ou suspicieux détecté, une alerte est remontée. Le message peut alors être bloqué par un opérateur de POST. Dans le cadre de cette campagne récente, et bien que n’étant pas contraintes à le faire, nos équipes ont veillé à bloquer nombre de ces messages, dans la mesure de la capacité des ressources disponibles. Tous les messages, cependant, n’ont pas pu être bloqués et certains ont malheureusement atteint certains utilisateurs. 

Des attaques très convaincantes

Cette campagne, à travers laquelle les attaquants se font passer pour Guichet.lu, n’est pas isolée. Depuis quelques années, des groupes malveillants se font passer pour certaines grandes organisations luxembourgeoises, notamment des banques ayant pignon sur rue au Luxembourg, LuxTrust, POST ou d’autres opérateurs de services aux citoyens, dans l’optique de subtiliser des données ou, pire, de l’argent à des utilisateurs. 

Ces attaques démontrent une réelle connaissance de l’écosystème luxembourgeois et des acteurs qui le composent. Certains SMS frauduleux étaient adressés en langue luxembourgeoise. Les sites vers lesquels renvoient les liens frauduleux reproduisent de manière assez convaincante l’environnement des portails web des organisations pour lesquelles les attaquants se font passer. 

Détecter et bloquer les messages usurpant votre identité

Afin d’aider les organisations qui voient leurs utilisateurs trompés dans le cadre de ces campagnes, POST déploie un service dédié, leur assurant une surveillance du trafic SMS pour détecter les messages frauduleux qui tenteraient d’usurper leur identité et agir en conséquence. 

Plus que d’intercepter les SMS illégitimes avant qu’ils n’atteignent l’utilisateur, le service permet aussi de bloquer l’émetteur. Au-delà, des mesures sont prises pour dénoncer le site web via lequel les cybercriminels tentent de récupérer des données de connexion. Leur hébergeur est averti, le nom de domaine est signalé comme servant à des activités criminelles. Nos équipes avertissent aussi les éditeurs de navigateurs web afin qu’ils incluent les noms de domaines incriminés dans les dispositifs anti-phishing existants. Ces diverses mesures contribuent à contrecarrer les attaques. 

Prévenir les risques

Si l’organisation dont l’identité est usurpée n’a pas de prise sur les attaquants, ces attaques ne sont pas sans conséquence pour elle. Un client d’une banque qui se voit subtiliser de l’argent à la suite d’une campagne de phishing prendra forcément contact avec le service clientèle, qui devra y consacrer des ressources et, le cas échéant, dédommager le client si la fraude peut être démontrée. En prévenant ce genre d’attaques grâce au service proposé par POST, on évite de s’exposer à ces désagréments et on se prémunit du risque de voir la confiance des utilisateurs envers une banque, une administration ou une organisation être mise à mal.  

La vigilance reste de mise

Enfin, il est bon de rappeler aux utilisateurs de faire preuve de prudence à l’égard des SMS ou des e-mails les invitant à se connecter et à fournir des informations. La plupart des organisations ou administrations n’invitent jamais directement les bénéficiaires de leurs services à se connecter au moyen d’un lien Internet envoyé par SMS ou par e-mail. De manière générale, il est recommandé de ne jamais cliquer sur un lien qui vous est envoyé si cela n’est pas lié à une démarche que vous avez vous-mêmes initiée (comme dans le cadre du renouvellement d’un mot de passe). Dans le doute, abstenez-vous de cliquer et consultez l’opérateur en recourant à une voie d’accès officielle.