Une campagne de phishing en cours usurpant l’identité d’E-ZPass et d’autres agences de péage a récemment augmenté, les destinataires recevant plusieurs iMessages et SMS pour voler des informations personnelles et de carte de crédit.
Les messages intègrent des liens qui, s’ils sont cliqués, dirigent la victime vers un site de phishing se faisant passer pour E-ZPass, Les routes à péage, FasTrak, Florida Turnpike ou une autre autorité de péage qui tente de voler ses informations personnelles, y compris ses noms, adresses e-mail, adresses physiques et informations de carte de crédit.
Cette arnaque n’est pas nouvelle, le FBI l’ayant mise en garde en avril 2024, mais Breachtrace a vu et reçu plusieurs rapports faisant état d’une recrudescence de cette campagne de phishing mobile.
Les messages texte contournent les mesures anti-spam et proviennent d’adresses e-mail apparemment aléatoires, ce qui, combiné à l’ampleur de l’attaque, indique une attaque automatisée.
Les textes frauduleux vus par Breachtrace prétendent provenir directement d’E-ZPass ou du Département des véhicules à moteur. Les textes utilisent un langage qui contient un sentiment d’urgence, comme le péage doit être payé dans un jour ou deux, ou il y aura des frais supplémentaires, ou les licences seront suspendues.
« Votre paiement de péage pour la voie E-ZPass doit être réglé avant le 4 avril 2025. Pour éviter les amendes et la suspension de vos privilèges de conduite, veuillez payer à la date d’échéance », lit un exemple de texte frauduleux vu par Breachtrace .
Apple iMessage désactive automatiquement les liens dans les messages d’expéditeurs inconnus pour protéger les utilisateurs contre les escroqueries par hameçonnage SMS. Pour contourner cela, les escrocs demandent aux utilisateurs de répondre au texte, ce qui rendra les liens cliquables.
En appuyant sur le lien fourni, la victime accède à un site de phishing E-ZPass, qui, autre que l’URL, ressemble à un site légitime. Les tests de Breachtrace ont déterminé que le site Web de phishing ne se charge que sur le mobile, de sorte que les utilisateurs de bureau ne le verront pas.
Le volume de SMS envoyés dans cette arnaque est si important que les utilisateurs ont exprimé leur frustration face à la fréquence et à la persistance des tentatives d’escroquerie particulières, atteignant parfois jusqu’à 7 messages par jour.
Bien que l’origine des messages n’ait pas encore été déterminée, nous avons récemment signalé l’émergence d’une plate-forme de phishing en tant que service nommée Lucid, qui a été liée à ces types d’escroqueries.
Des plateformes comme Lucid et Darcula utilisent des messages iMessage et RCS cryptés pour contourner les filtres anti-spam traditionnels et envoyer de gros volumes de texte sans encourir les coûts associés à la livraison standard de SMS.
Si vous recevez l’un de ces messages, vous devez bloquer et signaler le numéro afin que l’adresse e-mail ou le numéro de téléphone soit signalé à Apple. Cependant, en règle générale, vous devez éviter de répondre à ces escroqueries car elles vous placent sur le radar des escrocs pour de futures tentatives.
Pour ceux qui craignent d’avoir des impayés légitimes, vous devez plutôt vous connecter directement au site de votre autorité de péage pour vérifier les soldes.