Piratage de comptes Vinted : une histoire de combos

Des dizaines d’internautes ont été alertés après avoir constaté que leur compte Vinted avait été piraté. Voici les méthodes employées par les hackers malveillants pour vous faire chanter !

Le printemps est lĂ , les oiseaux voleurs (coucous) sont de sortie, tout comme les pirates informatiques ! Depuis quelques jours, plusieurs clients et vendeurs de la boutique en ligne Vinted (23 millions de Français y ont commercĂ© au moins une fois) ont Ă©tĂ© alarmĂ©s en voyant leur compte « vendeur Â» infiltrĂ©. Deux cas ont Ă©tĂ© identifiĂ©s.

Dans le premier cas, les hackers malveillants ont modifié les informations bancaires et ont effectué des prélèvements bancaires sur les cagnottes.

Chaque utilisateur de Vinted peut constituer une cagnotte, en gardant une partie de l’argent provenant de ses ventes pour acquérir de nouveaux vêtements d’occasion. Les pirates ont rapidement compris qu’il s’agissait d’une tirelire facile à atteindre et n’ont pas hésité à s’en emparer !

 

Un pirate recherchait, il y a peu, des accès VINTED en « URGENCE Â». – zataz.com

Dans le second cas, certains utilisateurs ont constatĂ© la prĂ©sence d’images malveillantes sur leur compte. Plusieurs possibilitĂ©s sont envisageables : il peut s’agir de plaisantins en quĂŞte de sensations fortes, de pirates testant les propriĂ©taires de compte pour voir Ă  quelle vitesse ils se rendent compte de l’infiltration de leur boutique, d’un test de Vinted pour retirer les documents, ou encore d’un chantage : « Si tu veux rĂ©cupĂ©rer ton compte, tu dois me payer, sinon je diffuse des images inappropriĂ©es et tu seras banni de ton compte« . Il va sans dire que l’image de marque du vendeur a Ă©galement Ă©tĂ© gravement atteinte.

 

Les comptes piratés Vinted peuvent se vendre jusqu’à 15€ pièce.

Mais comment opèrent les pirates ?

La cyberattaque subie par les clients de Vinted a Ă©tĂ© minutieusement prĂ©parĂ©e. Les pirates ont agi en France, en Italie et en Espagne. Comme je l’ai montrĂ© dans l’émission cyber de ZATAZ, avant que la presse ne s’empare de l’affaire, la mĂ©thode des pirates est malheureusement très simple.

 

En octobre 2022, un pirate a vendu plusieurs milliers de comptes piratés Vinted. – zataz.com

Tout d’abord, ils récupèrent des millions d’adresses électroniques. Ces adresses seront utilisées pour envoyer des emails de phishing, des emails qui tentent de récupérer les identifiants de connexion (adresse email et mot de passe) en utilisant de faux sites web aux couleurs de Vinted.

Une fois ces informations collectées, les pirates les fusionnent avec d’autres paquets d’identifiants. Pour cela, ils achètent ou trouvent des combos sur le marché noir, des fichiers texte pouvant contenir des centaines de millions d’identifiants de connexion.

DĂ©but mars, je vous montrais une dĂ©couverte du Service Veille ZATAZ : un pirate diffusait pas moins de 3 millions de donnĂ©es appartenant Ă  des Français. ou encore ces 2 millions de donnĂ©es bancaires offertes par un pirate pour vanter sa boutique en ligne de vente de donnĂ©es bancaires.

Une fois cette collecte terminĂ©e, le pirate n’a plus qu’à tester les accès possibles Ă  Vinted, mais aussi Ă  d’autres sites web. Le pirate espère que ses victimes utilisent le mĂŞme email et le mĂŞme mot de passe sur plusieurs sites. « Quitte Ă  avoir un pigeon, autant le plumer jusqu’au bout ! Â» m’a confiĂ© un pirate que j’ai rencontrĂ© rĂ©cemment sur un forum pirate hispanique.

Il existe également des logiciels qui automatisent la recherche d’espaces clients accessibles à partir des accès piratés.

Pour Vinted, entre les emails de phishing et les combos, les pirates n’ont plus qu’à se rĂ©galer comme je vous le montre, le 23 mars, dans le 20 heures de France 2.

 

Certaines boutiques pirates [blackmarket] se sont spĂ©cialisĂ©s dans le « cagnottage Â». – zataz.com

Comment se protéger ?

C’est aussi simple que 1 + 1 = 2. Il est recommandĂ© d’utiliser un mot de passe diffĂ©rent pour chaque site web que vous utilisez. Si possible, utilisez Ă©galement une adresse email diffĂ©rente pour chaque compte. Changez rĂ©gulièrement vos mots de passe, au moins une fois tous les trois mois. Soyez vigilant en ce qui concerne les courriels, les SMS et les appels tĂ©lĂ©phoniques que vous pouvez recevoir. Les entreprises ne vous demanderont jamais, par exemple, un code de double authentification. Elles n’en ont pas besoin. Si vous souhaitez vous rassurer, ZATAZ vous propose son service de veille, qui vous alerte en cas de fuite de donnĂ©es passĂ©es, mais aussi en cas de problèmes dans le futur.

Source: ZATAZ » Piratage de comptes Vinted : une histoire de combos

Comments are Closed