Le phishing reste l’une des premières portes d’entrée des cyberattaques. Une récente campagne visant les abonnés Free dévoile une approche plus fine : avant même de chercher à voler des identifiants, les attaquants s’assurent que votre adresse e-mail est bien active, en envoyant un phishing ressemblant à un e-mail Free. Un procédé malin qui optimise la rentabilité de leurs campagnes et complexifie la détection.
Un phishing qui commence par… valider votre existence
L’attaque prend la forme bien connue de l’e-mail frauduleux aux couleurs de Free, demandant à l’abonné de confirmer ses informations personnelles via un lien intégré. Classique ? Pas tout à fait. Ici, le lien contient directement des informations personnelles dans l’URL, comme l’adresse e-mail ou le numéro de téléphone : https//checkpoint-freemobile.com/?data=xxxxx où xxxxx encode ces données.
Premier piège : en cliquant, l’utilisateur confirme involontairement que son adresse e-mail est bien valide et que la personne derrière l’écran est active. Une information précieuse pour les cybercriminels qui cherchent à optimiser la rentabilité de leurs bases de données.
Une redirection vers un site légitime pour brouiller les pistes
Autre subtilité : après le clic, l’utilisateur est immédiatement redirigé vers le site du Monde (lemonde.fr). Aucun message d’alerte, aucune page de phishing apparente. De quoi désamorcer la méfiance de l’internaute, qui pourrait même oublier ce clic isolé ou le considérer sans conséquence.
Mais l’objectif premier des attaquants est atteint : ils savent désormais que l’adresse est valide et l’utilisateur actif. Cette validation silencieuse permet ensuite de revendre des bases d’adresses “qualifiées” à d’autres acteurs malveillants ou de préparer des attaques plus ciblées.
Une fausse page Free pour les plus crédules
En poussant l’analyse plus loin, il apparaît que si l’on modifie manuellement les données dans l’URL avec des informations fictives mais crédibles, la redirection ne s’effectue plus vers Le Monde, mais vers une fausse page de connexion Free : https://free-abonne.com/pages/login/
Cette page est conçue pour voler les identifiants de connexion Free, dans la continuité classique des campagnes de phishing.
Pourquoi cette méthode est efficace (et dangereuse)
La nouveauté de cette attaque réside dans cette phase de validation préalable, qui permet aux attaquants :
d’éviter d’envoyer massivement leurs attaques à des adresses obsolètes (et donc de réduire le risque de détection par les anti-spams), de constituer des listes “propres” d’e-mails actifs, plus facilement revendables sur les marchés parallèles, de contourner la vigilance des utilisateurs avec une redirection vers un site réputé, qui brouille les pistes.
Cette approche témoigne de l’évolution des techniques de phishing vers plus de sophistication et de rentabilité.
Comment se prémunir de ce type d’attaque ?
Vérifiez toujours l’adresse d’expédition des e-mails (même si elle semble “officielle”, comme “Free”). Ne cliquez jamais sur les liens contenus dans les e-mails sans avoir vérifié leur légitimité. Utilisez une adresse e-mail dédiée pour vos abonnements sensibles, que vous ne communiquez pas ailleurs. Activez l’authentification à deux facteurs (2FA) sur vos comptes Free et autres services critiques. En cas de doute, connectez-vous directement via le site officiel et non via les liens reçus par e-mail.
Le phishing 2.0 et la validation avant l’attaque
Cette campagne illustre bien le virage stratégique pris par certains groupes de cybercriminels : ne plus se contenter de ratisser large, mais cibler plus finement, optimiser leurs envois et maximiser leurs chances de succès. Face à ces techniques de plus en plus élaborées, la vigilance des utilisateurs reste la première ligne de défense.