Actualités de la sécurité

Alerte au faux sondage Amazon : un iPhone X presque gratuit

Kevin Martin, 3 avril 2019

Une campagne d'emails vous propose de récupérer un code suite à un achat en ligne afin de gagner un iPhone X ou un Samsung Galaxy. Il s'agit d'une arnaque montée de toute pièce.

Après Netflix et son abonnement d'un an à 1 euro, c'est autour du géant de la vente en ligne Amazon d'être utilisée par les cyber-escrocs dans le cadre d'une arnaque pour espérer gagner la confiance de leurs victimes.

Une campagne classique avec de multiples acteurs

Il s'agit d'une campagne d'emails classiques d'arnaque à l'abonnement au nom et couleurs de la société Amazon. Pour récupérer un iPhone X ou un Samsung Galaxy S9 - qui n'existent pas - il suffirait simplement de cliquer sur le bouton « Découvrir le Code » présent dans l'email et de répondre à différents sondages hébergés sur différents sites Internet.

Faux-Amazon-1

Emails envoyés aux victimes reprennant le logo et les couleurs de la société Amazon. Source de l'image : Zataz.com

L'email annonce la couleur dès le début : « Bonjour, Il y a quelque temps que vous avez fait un achat enligne, qui se qualifie pour obtenir un code unique de nous. » Vous pouvez en effet apercevoir un nombre important de fautes d'orthographes typiques d'une campagne de phishing. Il est difficile d'imaginer qu'une société comme Amazon fasse ce genre de faute. Cela reste un bon indicateur d'identification d'une attaque par phishing.

Le site Zataz.com a mené l'enquête en acceptant le défi et avant d'arriver au sondage qui permet de gagner un téléphone haut de gamme, plusieurs URLs (adresses Web) interviennent : centerexclusive*com, smplewilld*com, bonusexclusifs*com. Un compte à rebours invite même le lecteur à cliquer rapidement sur le bouton dédié au faux questionnaire. (Peut-être ne veulent-ils pas vous laisser trop de temps pour déceler la supercherie ?)

Les cyber-escrocs ont même pris le temps de rédiger des faux commentaires afin de tenter de renforcer la crédibilité de l'arnaque : « Je pensais que c’était une blague au début, par mon Samsung Galaxy S8 effectivement venu dans le courrier ce matin et il n’y a rien qui me empêche de se inscrire à chacun d’eux, que je ai fait lol. » Oui, vous avez bien lu.

Il s'agit d'une technique bien connue mais nous vous invitons à toujours prendre du recul et de regarder également la présence de commentaires négatifs ou constructifs.

Du code Amazon à un abonnement mensuel de 75 euros

Une fois vos coordonnées bancaires renseignées, la victime prend ainsi part selon les conditions générales du site à un « un tirage au sort pour le produit illustré. Si vous gagnez, vous serez contactés par email. Ce tirage spécial inclut un accès illimité de 3 jours à une plateforme de divertissement en ligne. Après les 3 jours d’essai, vous vous engagez dans un abonnement mensuel (65€ ou 75€, ndlr) qui sera automatiquement déduit de votre carte de crédit, tous les 30 jours. »

Oui, vous avez bien lu, encore une fois.

Faux-Amazon-3Page de paiement pour les « frais de dossiers » afin de recevoir le smartphone (que vous ne recevrez jamais). Source de l'image : Zataz.com

 

Faux-Amazon-4Page de paiement pour les « Frais de dossiers ». Source de l'image : Zataz.com

Une boîte postale de domiciliation d'entreprises basées à Chypre aurait été identifiée suite à des abonnements des services non désirés tels que Hutuno, Ecomio B.V, MusicGecko, cv-express. Dans le cas où vous avez fourni vos informations bancaires, vous devez contacter immédiatement votre banque afin de stopper les prélèvements et sécuriser vos informations.

Comment éviter une attaque par phishing ?

  • Ne pas cliquer sur les liens des emails non sollicités ou des logiciels de messagerie
  • Ne pas ouvrir les pièces jointes non sollicitées des emails ou des logiciels de messageries
  • Protéger vos mots de passe et ne les divulguer à personne
  • Ne pas donner d'informations sensibles à quiconque - par téléphone, en personne ou par courrier électronique
  • Regarder l'URL d'un site Web (adresse Web). Dans de nombreux cas de phishing, l'adresse Web peut sembler légitime, mais l'URL peut être mal orthographiée, étrange, ou le domaine peut être différent (.com quand il devrait être .gouv.fr)
  • Garder votre navigateur à jour et appliquez les correctifs de sécurité
  • Si quelque chose vous paraît trop beau pour être vrai, rendez-vous sur le site officiel de l'entreprise ou de l'institution et posez directement votre question.

Avast est le leader mondial de la cybersécurité, protégeant des centaines de millions d’utilisateurs dans le monde entier. Protégez tous vos appareils avec notre antivirus gratuit primé. Protégez votre confidentialité et chiffrez votre connexion en ligne avec le VPN SecureLine.

Apprenez-en davantage sur les produits qui protègent votre vie numérique sur avast.com. Obtenez toutes les dernières nouvelles sur les cybermenaces d’aujourd’hui et comment les vaincre sur blog.avast.com.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour toutes les dernières actualités, pensez à nous suivre sur Facebook et Twitter.