Un nouvel outil de cybercriminalité inquiète fortement les experts. Baptisé Spiderman, ce kit de phishing clé en main permet de mener des attaques à grande échelle contre des institutions financières européennes. Sa particularité : il rend les escroqueries numériques accessibles à des fraudeurs sans compétences techniques avancées, tout en ciblant directement le grand public.
Découvert récemment par la firme de cybersécurité Varonis et rapporté par nos confrères de 01.net, Spiderman est une plateforme prête à l’emploi qui facilite la création de faux sites Internet imitant presque parfaitement ceux de banques ou de services financiers connus. Une fois l’outil en main, l’attaquant n’a plus qu’à choisir l’établissement à imiter, la fausse page de connexion est ensuite générée automatiquement avec les bons logos, la mise en page adéquate et des messages crédibles.
Lorsqu’une victime saisit ses identifiants, ses informations sont transmises en temps réel à l’escroc. Le système peut ensuite demander d’autres éléments, comme un code de validation reçu par SMS, un numéro de carte bancaire ou des données personnelles. Tout se déroule comme sur un véritable site bancaire, ce qui rend la tromperie particulièrement efficace. En quelques minutes, les fraudeurs peuvent ainsi récupérer suffisamment d’informations pour vider un compte, effectuer des paiements ou usurper une identité.
Banques, services de paiement et crypto-monnaies concernées
Spiderman cible un large éventail d’acteurs financiers européens. Parmi eux, figurent plusieurs grandes banques bien connues en Allemagne, en Belgique, en Espagne ou encore en Suisse, à l’instar de Deutsche Bank, ING, Comdirect, Blau, O2, CaixaBank, Volksbank et Commerzbank. Des services de paiements sont également visés, notamment PayPal et Klara, ainsi que des plateformes de crypto-monnaies.
Les attaques sont d’autant plus préoccupantes que l’outil intègre des mécanismes avancés pour échapper à la détection. Il peut, par exemple, limiter l’affichage des faux sites à certains pays, à certains fournisseurs d’accès à Internet ou à des types précis d’appareils (mobile ou ordinateur). Les connexions provenant de réseaux suspects, comme les VPN ou les outils de surveillance utilisés par les chercheurs, sont automatiquement bloquées.
Diffusion déjà massive
Plusieurs campagnes de fraude actuellement en cours en Europe sont attribuées à Spiderman. Un groupe de discussion dédié sur l’application Signal compterait environ 750 membres, ce qui laisse penser que l’outil circule largement.
Face à cette menace, il est crucial de ne jamais cliquer sur un lien reçu par e-mail ou SMS sans vérification, même s’il semble provenir d’une banque ou d’un service connu. En cas de doute, mieux vaut se connecter directement via le site officiel ou l’application habituelle. À noter qu’aucune institution sérieuse ne demandera des codes de validation ou des informations sensibles par message. Enfin, si l’on est victime d’escroquerie, signaler rapidement toute activité suspecte permet de limiter les dégâts.
- Un kit de phishing nommé Spiderman permet de lancer facilement des attaques massives contre de grandes banques européennes, PayPal et des services liés aux crypto-monnaies.
- Il génère automatiquement de faux sites très crédibles et contourne de nombreux outils de détection, ce qui rend les escroqueries difficiles à repérer.
- Déjà largement diffusé, il est à l’origine de multiples campagnes de fraude en cours en Europe.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
