Une campagne de phishing baptisée « Phish n’ Ships  » est en cours depuis au moins 2019, infectant plus d’un millier de magasins en ligne légitimes pour promouvoir de fausses listes de produits pour des articles difficiles à trouver.

Les utilisateurs sans méfiance qui cliquent sur ces produits sont redirigés vers un réseau de centaines de fausses boutiques en ligne qui volent leurs informations personnelles et leur argent sans rien expédier.

Selon l’équipe de renseignement sur les menaces Satori de HUMAN qui a découvert Phish n’ Ships, la campagne a touché des centaines de milliers de consommateurs, causant des pertes estimées à des dizaines de millions de dollars.

L’opération Phish n ‘ Ships
L’attaque commence par infecter des sites légitimes avec des scripts malveillants en exploitant des vulnérabilités connues (n jours), des erreurs de configuration ou des informations d’identification d’administrateur compromises.

Une fois qu’un site est compromis, les auteurs de la menace téléchargent discrètement des scripts nommés tels que « zenb.php » et  » khyo.php, » avec lequel ils téléchargent de fausses listes de produits.

Ces éléments sont complétés par des métadonnées optimisées pour le référencement afin d’augmenter leur visibilité sur les résultats de recherche Google, d’où les victimes peuvent être tirées.

Liste de produits malveillants

Lorsque les victimes cliquent sur ces liens, elles sont redirigées à travers une série d’étapes qui mènent finalement à des sites Web frauduleux, imitant souvent l’interface de la boutique en ligne compromise ou utilisant un design similaire.

Faux magasin

Tous ces faux magasins sont connectés à un réseau de quatorze adresses IP, selon les chercheurs de Satori, et ils contiennent tous une chaîne particulière dans l’URL qui les rend identifiables.

Tenter d’acheter l’article sur the face shop oblige les victimes à suivre un faux processus de paiement conçu pour paraître légitime, mais n’inclut aucune vérification des données, signe d’une fraude potentielle.

Fausse page de commande

Les sites malveillants volent les informations saisies par les victimes dans les champs de commande, y compris les détails de leur carte de crédit, et effectuent le paiement à l’aide d’un compte de processeur de paiement semi-légitime contrôlé par l’attaquant.

L’article acheté n’est jamais expédié à l’acheteur, de sorte que les victimes perdent à la fois leur argent et leurs données.

Satori a découvert qu’au cours des cinq années d’activité de Phish n’ Chips, les acteurs de la menace ont abusé de plusieurs fournisseurs de paiement pour encaisser le produit de l’escroquerie.

Plus récemment, ils se sont adaptés à la mise en place d’un mécanisme de paiement sur certains des faux sites de boutiques en ligne afin de pouvoir récupérer directement les détails de la carte de crédit de la victime.

Système de paiement direct sur un site de Phish n ‘ Chips

Campagne perturbée
HUMAN et ses partenaires ont coordonné une réponse à Phish n ‘ Ships, informant de nombreuses organisations touchées et signalant les fausses annonces à Google afin qu’elles puissent être supprimées.

Au moment d’écrire ces lignes, la plupart des résultats de recherche malveillants ont été nettoyés et presque tous les magasins identifiés ont été mis hors ligne.

De plus, les processeurs de paiement qui ont facilité les retraits pour les fraudeurs ont été informés en conséquence et ont supprimé les comptes incriminés de leurs plateformes, perturbant considérablement la capacité de l’auteur de la menace à générer des profits.

Malgré tout cela, les acteurs de la menace peuvent s’adapter à cette perturbation. Bien que Satori continue de surveiller l’activité en cas de résurgence, il est peu probable qu’ils abandonnent et n’essaient pas d’établir un nouveau réseau de fraude auprès des acheteurs.

Il est recommandé aux consommateurs de rechercher les redirections inhabituelles lorsqu’ils naviguent sur les plateformes de commerce électronique, de valider qu’ils se trouvent sur la bonne URL de boutique lorsqu’ils tentent d’acheter un article et de signaler les frais frauduleux à leur banque et aux autorités dès que possible.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *