Phishing : des pirates ciblent les livreurs d’une filiale d’Uber

Une campagne de phishing cible les coursiers de Postmates, un service de livraison très présent aux États-Unis. Les hackers se font passer pour des employés de la filiale d’Uber afin d’obtenir les identifiants des travailleurs. Ces derniers accusent l’application de ne pas assurer leur sécurité face à ses attaques.

Postmates, une filiale d’Uber, est l’un des plus gros services de livraison aux États-Unis. L’application emploie plus de 500 000 coursiers à travers le pays. Forcément, une telle plateforme fait les yeux doux aux hackers malintentionnés, qui y voient une opportunité en or de se faire de l’argent. Une campagne de phishing s’est en effet mise en place depuis quelque temps, ciblant exclusivement les coursiers qui pensent sur le moment effectuer une livraison comme les autres.

L’un d’entre eux, Benjamin Safer, raconte ainsi avoir reçu une simple commande pour un cookie McDonald’s, qui lui a finalement coûté la totalité de ses revenus de la semaine, soit 346 $. Pour ce faire, les hackers profitent du système même de l’application, à savoir l’absence d’interaction entre collègues et la possibilité de transférer instantanément et tout à moment l’argent gagné sur son compte personnel. La méthode est toujours la même : réaliser une fausse commande pour entrer en contact avec le coursier en se faisant passer pour un employé de Postmates.

Les hackers convainquent les coursiers de fournir leurs identifiants

Une fois le cookie récupéré chez McDonald’s, un numéro inconnu a appelé Benjamin Safer. La voix au téléphone, qui s’est revendiqué employée de Postmates, a informé le coursier que son compte a été bloqué pour cause d’activité frauduleuse. Pour éviter la désactivation, il devait alors vérifier ses informations, en rentrant ses identifiants sur une fausse page. « J’étais paniqué », raconte la victime. « La conversation paraissait étrange, mais c’était plus ou moins logique ».

Les hackers, ayant gagné accès au compte de la victime, n’ont alors eu qu’à entrer leurs coordonnées bancaires à la place de celles de Benjamin Safer pour ensuite procéder au transfert d’argent. Pour Steve Ragan, chercheur en cybersécurité, cette pratique n’a rien d’étonnant. « Les livreurs sont des cibles lucratives pour les criminels »,  explique-t-il. « Ils sont stressés, ils sont surmenés et beaucoup d’entre eux ne peuvent pas se permettre de perdre leur travail. Les hackers profitent de l’élément de peur. »

À lire également — Uber est obligé de considérer ses chauffeurs comme des employés

Steve Ragan considère ce genre d’attaques comme moitié phishing, moitié social engineering, puisque les pirates parviennent à convaincre les coursiers d’agir selon leurs souhaits en se faisant passer pour leur « patron ou quelqu’un d’important qui [leur] dit quoi faire ». Il précise que ces arnaques ont pris en importance depuis le début de la pandémie. « Nous avons tous été confinés cette année, les criminels aussi. Ils ont changé de stratégie de manière à profiter de la COVID-19. Il y a bien un lien entre la pandémie et le fait que les coursiers sont ciblés ».

Les coursiers accusent Postmates de ne rien faire

Shaleece Green, une autre coursière travaillant pour Postmates, se plaint du manque d’action de la part de l’application. « Ça craint de devoir y aller à l’aveuglette comme ça, il n’y a personne pour vous aider. Postmates doit réagir, en proposant des mesures préventives ou en alertant les gens ». Elle n’est pas la seule de cet avis. D’autres livreurs regrettent de ne pas avoir été prévenus de l’existence de ce genre d’arnaques à leurs débuts. Meghan Casserly, chargée de la communication de la filiale d’Uber, évoque des « rappels périodiques » envoyés au coursier, ainsi que la mise en place d’une page d’aide leur étant destinée. Ces derniers indiquent n’avoir jamais vu cette page.

Les experts en cybersécurité estiment qu’il en revient de la responsabilité de Postmates de fournir aux livreurs les moyens de se défendre. « Il y a constamment de nouveaux coursiers qui n’ont aucune idée de ce à quoi ils doivent faire attention » d’après Elizabeth Watkins, une chercheuse à l’université de Princeton. « La plateforme est redevable aux travailleurs et doit mettre à leur disposition des outils leur permettant de se protéger ».

À lire également — Coronavirus : Uber suspend désormais les comptes des personnes exposées au COVID-19

Et à Meghan Casserly de se défendre : « Bien que ce genre d’incidents ne sont pas rares chez Uber et Postmates, nous traitons très sérieusement toutes les alertes d’activité frauduleuse. »  Les coursiers réclament de meilleures protections, comme un délai supplémentaire pour le transfert en cas de modifications des informations bancaires, ou la création d’un identifiant pour les appels entrants. Postmates rappelle avoir ajouté un système d’authentification à deux facteurs. Ce dernier n’a été mis en place qu’il y a quelques semaines.

Source : The Markup