Phishing
De la fuite de données au phishing : comment vos infos alimentent les arnaques ciblées
Une fuite de données est souvent le début d’une chaîne rentable : revente, recoupement, puis phishing de masse ultra ciblé.
Quand on parle de “fuite de données”, on imagine souvent un fichier qui se balade quelque part sur Internet. En réalité, pour les attaquants, c’est le point de départ d’une chaîne très rentable : revente sur des forums privés, recoupement avec d’autres leaks, puis phishing de masse ultra ciblé.
Dans cet article, on suit le parcours classique :
- intrusion dans une base de données
- revente des informations sur le dark web
- exploitation de ces données dans des campagnes de phishing (faux SMS de livraison, extorsion à partir d’un IBAN volé)
1. De l’intrusion à la revente : comment vos données circulent
1.1. L’attaque initiale
Le point de départ est souvent classique :
- faille dans une application (injection SQL, mauvaise configuration d’authentification)
- accès volé via un phishing interne (un employé clique, le reste suit)
- base de test exposée publiquement, laissée sans mot de passe
Une fois à l’intérieur, l’attaquant cherche des tables “intéressantes” :
- users, customers, accounts, orders…
- colonnes comme email, phone, address, iban, card_last4, reset_token…
Il n’a pas besoin de tout comprendre du schéma. Il exporte en masse, en dump complet, ou en CSV.
1.2. Mise en vente sur des forums spécialisés
Ensuite, ces fichiers sont monétisés :
- sur des forums du dark web / Telegram / Discord privés
- sous forme de “combo lists” ou de dumps labellisés (ex: FR_ecommerce_2025_1M_records.csv)
Les acheteurs ne sont pas forcément des “hackers techniques” : ce sont souvent des groupes spécialisés en phishing, arnaques à la livraison, fraude bancaire, romance scams… chacun avec son “métier”.
2. Phishing de masse après fuite : le cas des faux SMS de livraison
Un des usages les plus visibles : les SMS de colis.
2.1. Pourquoi les fuites rendent ces SMS crédibles
Grâce à une fuite, les escrocs disposent souvent de :
- votre nom
- votre adresse postale complète
- parfois l’historique de commandes (type de produit, transporteur, date)
Bonjour M. Dupont, votre colis pour [Nom du site] ne peut pas être livré au 12 rue des Lilas, 75010 Paris. Veuillez mettre à jour vos informations : [lien]
Quelques détails renforcent la crédibilité :
- mention d’un transporteur réel (La Poste, Colissimo, DHL, UPS)
- ton administratif et neutre
- envoi à une heure “normale”
2.2. Le lien piégé
Le lien renvoie vers un site cloné :
- un domaine qui ressemble au vrai (ex : colissimo-suivi[.]fr)
- copie quasi identique du formulaire officiel (logo, couleurs, typographie)
Les informations demandées :
- vos coordonnées (pour “mettre à jour la livraison”)
- puis très vite numéro de carte bancaire, date d’expiration, CVC
Les attaquants récupèrent les données de carte en clair, et parfois aussi une adresse email + mot de passe.
3. Exploiter un IBAN ou des données bancaires volées
3.1. “On a votre IBAN, on sait où vous habitez”
Un IBAN seul ne permet pas de vider un compte, mais il sert de levier psychologique. Combiné à votre nom complet et adresse, il devient un argument de menace.
Nous avons accès à votre compte nom de la banque [IBAN FR76 xxxx xxxx xxxx]. Si vous ne payez pas [ce montant] aujourd’hui, nous utiliserons ces informations pour effectuer des opérations frauduleuses et contacter vos proches.
Dans la réalité, ils n’ont pas toujours la capacité technique, mais le but est de créer peur + urgence pour vous pousser à payer ou donner d’autres informations (codes SMS, accès en ligne).
3.2. Phishing bancaire “assisté” par les fuites
D’autres groupes vont utiliser ces données pour des faux appels bancaires :
- ils appellent en se faisant passer pour votre banque
- ils citent des détails réels issus de la fuite (IBAN partiel, ancienne adresse…)
- ils demandent des codes SMS ou une “validation” qui est en réalité un paiement sortant
Comme ils ont des données crédibles, la victime baisse sa garde.
4. Comment les attaquants combinent plusieurs fuites
Les fuites ne vivent pas isolément : les groupes achètent plusieurs dumps, fusionnent le tout, puis adaptent leurs messages.
5. Comment se protéger (en tant qu’utilisateur)
5.1. Face aux SMS / emails de livraison
- ne cliquez jamais directement sur un lien reçu par SMS — tapez vous‑même l’URL officielle
- si un message parle de frais à payer : partez du principe que c’est faux et vérifiez via vos canaux habituels
- vérifiez l’adresse du site (domaine, sous‑domaines), et la cohérence du message
5.2. Face aux menaces liées à un IBAN
- rappelez‑vous qu’un IBAN n’est pas un accès à votre compte
- ne donnez jamais de codes SMS, mots de passe, ni accès à votre appli bancaire
- si quelqu’un prétend être votre banque : raccrochez et rappelez via le numéro officiel
5.3. En cas de doute ou de fuite confirmée
- surveillez vos relevés bancaires
- activez les alertes SMS / push
- changez vos mots de passe (surtout si vous les réutilisiez ailleurs)
- signalez les messages suspects aux plateformes concernées
6. Ce que les entreprises peuvent faire
Côté entreprises, l’objectif est double :
- réduire les données stockées en clair (minimisation, chiffrement, tokenisation)
- limiter l’impact d’une fuite quand elle se produit malgré tout
C’est exactement ce que des solutions comme Veilio cherchent à faire : stocker des tokens dans vos bases, garder les données sensibles dans un coffre chiffré séparé, et réduire la matière exploitable.