La multinationale de transport UPS avertit ses clients canadiens que certains de leurs renseignements personnels pourraient avoir été exposés via ses outils de recherche de colis en ligne et abusés lors d’attaques d’hameçonnage.
À première vue, les lettres envoyées par UPS Canada, intitulées « Lutte contre l’hameçonnage et le smishing – une mise à jour d’UPS », semblent être un avertissement aux clients sur les dangers de l’hameçonnage.
Cependant, il s’avère qu’il s’agit en fait d’une notification de violation de données, la société se faufilant dans une divulgation indiquant qu’elle a reçu des rapports de messages de phishing par SMS contenant les noms et les adresses des destinataires.
« UPS est conscient que certains destinataires de colis ont reçu des SMS frauduleux exigeant un paiement avant qu’un colis ne puisse être livré », a déclaré UPS dans une lettre partagée par l’analyste des menaces d’Emsisoft, Brett Callow.
« Les notifications de violation doivent être absolument claires sur ce qu’elles sont dès le départ. Les gonfler n’aide personne et augmente simplement les chances qu’elles soient mises à la poubelle sans être lues », a déclaré Callow à Breachtrace .
Après avoir reçu les rapports de phishing, UPS a travaillé avec des partenaires au sein de la chaîne de livraison pour comprendre la méthode utilisée par les acteurs de la menace pour collecter les informations d’expédition de leurs cibles.
À la suite d’un examen interne, UPS a découvert que les attaquants à l’origine de cette campagne de phishing par SMS en cours utilisaient ses outils de recherche de colis pour accéder aux détails de livraison, y compris les coordonnées personnelles des destinataires, entre février 2022 et avril 2023.
L’entreprise a désormais mis en place des mesures visant à restreindre l’accès à ces données sensibles pour contrecarrer ces tentatives de phishing convaincantes.
UPS indique informer les personnes dont les informations pourraient avoir été affectées afin d’assurer la transparence et la prise de conscience de la situation.
« Les informations disponibles via les outils de recherche de colis comprenaient le nom du destinataire, l’adresse d’expédition et éventuellement le numéro de téléphone et le numéro de commande », a déclaré UPS.
« Nous ne pouvons pas vous fournir la période exacte pendant laquelle l’utilisation abusive de nos outils de recherche de colis s’est produite. Cela peut avoir affecté les colis d’un petit groupe d’expéditeurs et de certains de leurs clients du 1er février 2022 au 24 avril 2023. »
Les clients UPS du monde entier ont été touchés par ces attaques de phishing, comme le montrent les rapports en ligne montrant les acteurs de la menace utilisant leurs noms, numéros de téléphone et codes postaux, ainsi que des informations sur les commandes récentes.
Selon de nombreux messages texte malveillants vus par Breachtrace et censés avoir été envoyés au cours de cette campagne, les acteurs de la menace se font passer pour des livraisons LEGO et Apple, d’autres entreprises étant probablement également touchées.
Un porte-parole d’UPS n’était pas immédiatement pour commenter lorsqu’il a été contacté par Breachtrace plus tôt dans la journée concernant le nombre de clients concernés et quels autres expéditeurs se sont fait passer pour les attaques.
En septembre et juillet, l’Internal Revenue Service (IRS) et la Federal Communications Commission (FCC) ont averti les Américains d’une augmentation massive des attaques de phishing par SMS.
Les deux agences fédérales leur ont demandé de se méfier des SMS provenant de numéros inconnus avec des liens suspects et contenant souvent des informations trompeuses et incomplètes.
Pour vous défendre contre de telles attaques, vous ne devez jamais cliquer sur des liens intégrés dans des messages suspects ou répondre avec des informations sensibles.