Méfiez-vous de l'arnaque de phishing astucieuse «nouvel appareil connecté à votre Stripe»
Dans l'ensemble, les cybercriminels n'ont pas tendance à faire de discrimination dans leur choix de cibles. Entre ceux qui se spécialisent dans l'extorsion d'entreprise ou préfèrent brutaliser les petites entreprises, les institutions gouvernementales ou la réalisation d'attaques DDOS, et ceux qui tentent de convaincre les particuliers de leur argent avec l'ingénierie sociale, les pirates ont généralement à peu près toutes les bases couvertes en matière de cibles. Cependant, il est indéniable que certains objectifs semblent être plus préférés que d'autres - et les processeurs de paiement semblent être l'un d'entre eux. Exemple: les tentatives de phishing ciblant des utilisateurs potentiels de Stripe sont devenues si courantes que Stripe lui-même a été contraint d'inclure un guide sur la façon de NE PAS se faire hameçonner sur son propre site Web.
Et pour être honnête, il y a en fait une très bonne raison pour la société de faire cela - il y a eu au moins trois campagnes de phishing massives assez sophistiquées ciblant les utilisateurs potentiels de Stripe au cours de la dernière année. Tous impliquaient des e-mails d'aspect assez légitime, invitant l'utilisateur à confirmer ses informations de connexion, de peur que quelque chose d'indésirable ne se produise sur son compte. Ces e-mails fournissaient des liens obscurs vers des pages de destination d'aspect plutôt légitime, conçues pour récupérer les informations d'identification de l'utilisateur et les déposer entre les mains sales des cybercriminels.
Les pirates ont affiché un niveau de sophistication impressionnant à ce stade, en particulier dans cette dernière campagne qui a frappé les e-mails au début de mars 2020. Oui, vous pouvez facilement repérer la différence entre la page de destination et la page de connexion Stripe légitime lorsque vous les comparez côte à côte , mais le faux est plus que suffisant pour tromper même les utilisateurs suspects. Il est bien formaté, utilise les polices correctes et propose des hyperliens et des clauses de non-responsabilité. Seules les couleurs et les proportions de certains boutons sont un peu décalées, mais cela peut facilement s'expliquer par de subtils changements de conception, et c'est le genre de chose que les entreprises font tout le temps.
Des couches supplémentaires d'ingénierie sociale peuvent être ajoutées pour tromper l'utilisateur ciblé - par exemple, une page de phishing a redirigé l'utilisateur vers le site Web Stripe réel, après que l'utilisateur a entré ses informations d'identification, afin de ne pas éveiller les soupçons que quelque chose ne va pas.
Pour faire court, la sophistication du pirate a déjà atteint un niveau suffisamment élevé pour décourager les utilisateurs même suspects. Alors, que peut-on attendre d'un utilisateur pour éviter de se faire voler ses informations financières importantes? Quelles sont les meilleures pratiques à suivre pour éviter d'être victime d'une escroquerie par phishing, comme celle ciblant les utilisateurs Stripe?
Vérifiez l'adresse Web
Il y a beaucoup de choses que les fraudeurs peuvent faire pour donner à leurs faux courriels un air de légitimité - utilisez une bonne grammaire et les logos appropriés, formatez les courriels de manière légitime, même utilisez des informations personnelles sur la cible acquise ailleurs, obscurcissez les liens, etc. Cependant, il y a une chose qui est un cadeau mort que l'e-mail est frauduleux qu'ils ne peuvent rien faire - et c'est la source de l'e-mail. Tous les clients de messagerie décents fournissent à l'utilisateur une source pour la communication - et si cette source est suspecte, l'e-mail est presque certainement une tentative de phishing ou un autre type d'attaque. Comme Stripe l'a lui-même mis sur sa page officielle, "Est-ce qu'il pointe vers une page sur stripe.com?" Sinon - ignorez-le. Mieux encore - supprimez-le, afin de ne pas cliquer accidentellement dessus ultérieurement.
Ne cliquez pas sur les liens
Lorsque vous êtes averti que vous devez faire quelque chose par e-mail, ne cliquez pas sur le lien fourni. Au lieu de cela, prenez le temps d'aller sur la plate-forme qui prétend vous avoir envoyé le message et vérifiez les choses par vous-même. Accédez à votre signet ou saisissez la bonne adresse et connectez-vous à votre compte de cette façon. Sauf si vous avez sollicité l'e-mail tout à l'heure (dans le but de changer un mot de passe oublié, par exemple), traitez les liens fournis dans un e-mail avec la plus grande suspicion. Vérifiez toujours où ils prétendent mener, et si vous avez vent de quelque chose de malencontreux - jetez l'e-mail.