La fausse page de phishing USPS.
Ces dernières semaines, nous avons assisté à une augmentation considérable du nombre d’escroqueries par phishing ciblant Service postal américain (USPS). Voici un aperçu d’une vaste opération de phishing par SMS qui tente de voler des données personnelles et financières en usurpant l’USPS, ainsi que les services postaux dans au moins une douzaine d’autres pays.
KrebsOnSecurity a récemment entendu parler d’un lecteur qui a reçu un SMS prétendant avoir été envoyé par l’USPS, disant qu’il y avait un problème avec un colis destiné à l’adresse du lecteur. Cliquer sur le lien dans le message texte amène au domaine usps.informedtrck[.]com.
La page de destination générée par le lien de phishing inclut le logo USPS et indique « Votre colis est en attente pour une adresse de destinataire invalide. Remplissez les informations d’adresse correctes via le lien. Sous ce message se trouve un bouton « Cliquez sur mettre à jour » qui redirige le visiteur vers une page demandant plus d’informations.
Les boutons restants de la page de phishing renvoient tous au véritable site Web USPS.com. Après avoir collecté vos informations d’adresse, le faux site USPS demande des données personnelles et financières supplémentaires.
Ce domaine de phishing a été récemment enregistré et ses enregistrements de propriété WHOIS sont pratiquement inexistants. Cependant, nous pouvons trouver des indices convaincants sur l’ampleur de cette opération en chargeant la page de phishing dans les outils de développement, un ensemble de fonctionnalités de débogage intégrées à Firefox, Chrome et Safari qui permettent d’inspecter de près le code et les opérations d’une page Web.
Regardez la partie inférieure de la capture d’écran ci-dessous et vous remarquerez que ce site de phishing ne parvient pas à charger certaines ressources externes, notamment une image provenant d’un lien appelé voler.linkcdn[.]à.
Cliquez sur l’image pour l’agrandir.
Une recherche sur ce domaine au toujours utile URLscan.io montre que voler.linkcdn[.]à est lié à un grand nombre de domaines de phishing sur le thème de l’USPS. Voici quelques-uns de ces domaines (liens supprimés pour éviter les clics accidentels) :
usps.receivepost[.]com
usps.informedtrck[.]com
usps.trckspost[.]com
post-réception[.]com
usps.trckpackages[.]com
usps.infortrck[.]com
usps.quicktpos[.]com
usps.postreceive].]com
usps.revepost[.]com
suiviusps.infortrck[.]com
usps.receivepost[.]com
usps.trckmybusi[.]com
post-réception[.]com
virement de bord[.]com
usps.trckstamp[.]com
usa-usps[.]boutique
usps.infortrck[.]com
non répertoriétamponrecevoir[.]com
usps.stampreceive[.]com
usps.stamppos[.]com
usps.stampspos[.]com
usps.trckmypost[.]com
usps.trckintern[.]com
usps.tackingpos[.]com
usps.posinformed[.]com
Comme nous pouvons le voir dans la capture d’écran ci-dessous, la console des outils de développement pour InformeTrck[.]com se plaint que le site est incapable de charger un Google Analytics code- UA-80133954-3 — qui a apparemment été rejeté pour avoir pointé vers un domaine invalide.
Notez le code Google Analytics mis en surbrillance exposé par un élément Javascript défectueux sur le site Web de phishing. Cliquez pour agrandir. Ce code appartient en fait à l’USPS.
Le domaine valide pour ce code Google Analytics est le site Web officiel usps.com. Selon dnslytics.comce même code d’analyse est apparu sur au moins six autres pages de phishing USPS presque identiques remontant à presque autant d’années, notamment en ligneuspsexpress[.]comlequel DomainTools.com dit qu’il a été enregistré en septembre 2018 auprès d’un particulier au Nigeria.
Un domaine différent avec le même code Google Analytics qui a été enregistré en 2021 est peraltansepeda[.]comlequel archive.org montre exécutait un ensemble similaire de pages de phishing ciblant les utilisateurs de l’USPS. DomainTools.com indique que le nom de ce site Web a été enregistré par phishers basés en Indonésie.
DomainTools indique le domaine de phishing USPS mentionné ci-dessus stamppos[.]com a été enregistré en 2022 via une société basée à Singapour Alibaba.commais la ville et l’État du titulaire répertoriés pour ce domaine indiquent « Géorgie, AL », ce qui n’est pas un emplacement réel.
Hélas, en effectuant une recherche de domaines enregistrés via Alibaba auprès de toute personne prétendant résider en Géorgie, AL révèle près de 300 domaines de phishing postal récents se terminant par « .top ». Ces domaines sont soit des domaines administratifs masqués par une page de connexion protégée par mot de passe, soit des domaines .top phishing des clients de l’USPS ainsi que des services postaux desservant d’autres pays.
Ces autres nations incluent le Poste australienne, Un message (Irlande), Correos.es (Espagne), le Poste costariciennele Poste chiliennele Service postal mexicain, Poste Italienne (Italie), PostNL (Pays-Bas), PostNord (Danemark, Norvège et Suède), et Posti (Finlande). Une liste complète de ces domaines est disponible ici (PDF).
Une page de phishing ciblant An Post, le fournisseur public de services postaux en Irlande.
Les domaines Géorgie, AL d’Alibaba comprennent également plusieurs sites frauduleux prétendant percevoir des frais de péage routier et des amendes impayés au nom des gouvernements de Australie, Nouvelle-Zélande et Singapour.
Un lecteur anonyme a écrit pour dire qu’il avait soumis de fausses informations au site de phishing usps.receivepost mentionné ci-dessus.[.]com via le bac à sable des malwares n’importe quel.run. UN enregistrement vidéo de cette analyse montre que le site envoie toutes les données soumises via un robot automatisé sur le service de messagerie instantanée Telegram.
L’analyse du trafic juste en dessous de la vidéo any.run montre que toutes les données collectées par le site de phishing sont envoyées à l’utilisateur de Telegram. @chenlun, qui propose de vendre du code source personnalisé pour les pages de phishing. D’après un examen des autres chaînes Telegram de @chenlun, il semble que ce compte soit massivement spammé en ce moment – peut-être grâce à l’attention du public portée par cette histoire.
Pendant ce temps, des chercheurs de DomainTools ont récemment a publié un rapport sur une campagne de phishing par SMS apparemment sans rapport mais tout aussi tentaculaire ciblant les clients de l’USPS et qui semble être l’œuvre de cybercriminels basés en Iran.
Les phishers ont tendance à ratisser large et usurpent souvent des entités largement utilisées par la population locale, et peu de marques auront une plus grande portée auprès des ménages que les services de courrier nationaux. En juin, le Service de colis uni (UPS) a révélé que les fraudeurs abuser d’un outil de suivi des expéditions en ligne au Canada pour envoyer des messages SMS de phishing très ciblés qui usurpaient UPS et d’autres marques.
Alors que la période des achats des Fêtes approche, c’est le moment idéal pour rappeler à votre famille et à vos amis les meilleurs conseils pour éviter les escroqueries par phishing : évitez de cliquer sur des liens ou des pièces jointes qui arrivent de manière inattendue dans les e-mails, les SMS et d’autres supports. La plupart des escroqueries par phishing invoquent un élément temporel qui avertit des conséquences négatives si vous ne réagissez pas ou n’agissez pas rapidement.
Si vous n’êtes pas sûr de la légitimité du message, respirez profondément et visitez manuellement le site ou le service en question – idéalement, en utilisant un signet du navigateur afin d’éviter sites de typosquattage potentiels.
Mise à jour : ajout d’informations sur le bot Telegram et l’analyse any.run.
