Un acteur menaçant chinois motivé financièrement surnommé « Silk Specter » utilise des milliers de faux magasins en ligne pour voler les détails de la carte de paiement des acheteurs en ligne aux États-Unis et en Europe.

La campagne de fraude a débuté en octobre 2024, offrant des remises importantes pour la prochaine période de magasinage du Black Friday qui voit généralement une activité de magasinage élevée.

Arda Buyukkaya, chercheuse en menaces chez EclecticIQ, qui a découvert la campagne, a déclaré à Breachtrace qu’au moment de la publication de son rapport, SilkSpecter exploitait 4 695 domaines frauduleux.

Ces sites se font passer pour des marques bien connues telles que the North Face, Lidl, Bath & Body Works, LL Bean, Wayfair, Makita, IKEA et Gardena.

Dans de nombreux cas, les noms de domaine utilisés dans la campagne incluent la chaîne « Black Friday », ciblant clairement les acheteurs en ligne à la recherche d’offres à prix réduits.

L’un des sites de phishing usurpant l’identité de The North Face

Vol d’informations de carte de crédit
Les sites Web SilkSpecter sont bien conçus et portent généralement le nom de la marque usurpée pour paraître authentiques en un coup d’œil. Cependant, leurs sites utilisent généralement des domaines de premier niveau comme ‘.boutique, ».magasin, ».vip, ‘ et ‘.en haut,  » qui ne sont généralement pas associés à de grandes marques ou à des sites de commerce électronique dignes de confiance.

En fonction de l’emplacement de la victime, le site Web utilise Google Translate pour ajuster automatiquement la langue des sites frauduleux en conséquence.

Les sites de phishing intègrent Stripe, un processeur de paiement légitime et fiable, ce qui ajoute à la légitimité du site tout en leur permettant de voler des informations de carte de crédit.

SilkSpecter utilise également des outils de suivi tels que OpenReplay, TikTok Pixel et Meta Pixel sur les sites. Ces outils les aident à surveiller le comportement des visiteurs et éventuellement à ajuster leurs tactiques pour augmenter l’efficacité de l’opération.

Lorsque les utilisateurs tentent d’acheter sur ces sites, ils sont redirigés vers une page de paiement qui les invite à saisir leur numéro de carte de crédit/débit, leur date d’expiration et leur code CVV. Un numéro de téléphone est également demandé à la dernière étape.

Exfiltrer les détails de la carte de paiement vers l’attaquant

En plus de voler l’argent de la commande en abusant du service Stripe, le kit de phishing envoie également les détails de la carte saisis à un serveur contrôlé par un attaquant.

EclecticIQ pense que le numéro de téléphone est volé pour être utilisé ultérieurement dans des attaques de phishing vocales ou SMS nécessaires au traitement des invites d’authentification à deux facteurs (2FA) lors de l’exploitation des données de la carte de paiement.

SilkSpecter est censé être chinois, sur la base de son utilisation des adresses IP et des ASN chinois, des bureaux d’enregistrement de domaines chinois, des preuves linguistiques dans le code des sites et de l’utilisation antérieure de la plate-forme chinoise de Logiciel en tant que service (SaaS) nommée « oemapps » (avant Stripe).

Il est recommandé aux acheteurs du Black Friday de ne visiter que les sites Web officiels de la marque et d’éviter de cliquer sur les publicités, les liens des publications sur les réseaux sociaux ou les résultats promus sur la recherche Google.

Enfin, les titulaires de carte doivent activer toutes les mesures de protection disponibles sur leurs comptes financiers, y compris l’authentification multifacteur, et surveiller régulièrement leurs relevés.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *