Actualités, informations sur les menaces

Credit Resources Vault : Pourquoi cet e-mail concernant le crédit a déclenché nos signaux d'alerte

par Pieter Arntz | 15 avril 2026
crédit illimité

S'il y a bien une chose qui m'agace plus qu'un escroc, ce sont les entreprises qui se comportent comme telles, tout en restant juste dans les limites de la loi. Elles parviennent à s'accrocher et à décevoir leurs clients pendant des années.

C'est aussi pour cela que certaines personnes pensent parfois que Malwarebytes Scam Guard peut se montrer trop prudent lorsqu’il signale des sites web. Certains sites se situent dans une zone grise où même les chercheurs chevronnés doivent y regarder à deux fois pour déterminer s’il s’agit d’une escroquerie pure et simple.

C'est exactement ce qui s'est passé ici.

Après avoir reçu un signalement anonyme d'un client, j'ai ouvert une enquête sur un e-mail que Scam Guard avait signalé comme hautement suspect.

L'e-mail

L'e-mail provenait de l'adresse anna@cosmosshift[.]org et a fait la promotion d'un service appelé Coffre-fort des ressources de crédit, en invitant les destinataires à cliquer sur un bouton intitulé Vérifiez dès maintenant si vous êtes éligible..

Il y a des signaux d'alerte immédiats :

  • Le domaine de l'expéditeur (cosmosshift.org) n'a aucun lien évident avec des services de crédit ou des produits financiers. Il n'existe aucune institution financière du nom de « Cosmos Shift ».
  • Ce message crée un sentiment d'urgence concernant l'approbation du crédit, une tactique classique de pression relevant de l'ingénierie sociale.
  • Il comporte une adresse physique et un lien de désabonnement qui semblent authentiques, mais qui constituent en réalité une technique courante de hameçonnage appelée « blanchiment de légitimité ».

Contrairement à la plupart des e-mails de hameçonnage, celui-ci comporte une formule de politesse personnalisée utilisant l'adresse e-mail du destinataire. Étant donné que le destinataire affirme n'avoir jamais eu de contact avec l'expéditeur, cela laisse supposer que ses coordonnées proviennent d'un courtier en données ou d'une fuite de données antérieure.

Le site web donne une image suspecte

En cliquant sur le lien, vous accédez à (yourcreditvault.com), un site au design soigné qui semble proposer des services de crédit.

Page d'accueil « Ressources de crédit »
Page d'accueil « Ressources de crédit »

Mais en y regardant de plus près, nous avons découvert d'autres signaux d'alerte :

  • Le site web a été développé avec Vite/React, un framework JavaScript moderne que l'on retrouve plus souvent dans les projets parallèles de start-ups que dans le secteur des services financiers réglementés.
  • Certaines références à bolt.new laissent penser que le site a peut-être été créé à l'aide d'outils d'IA
  • Il n'y a aucun signe visible d'une sécurité de niveau bancaire. Le code source HTML ne montre qu'une structure d'application basique, sans aucun signe d'chiffrement propre au secteur financier.
  • L'identité visuelle (y compris le logo) semble avoir été conçue à la va-vite
  • Le bundle JavaScript (index-B54Ghi53.js) derrière le formulaire de soumission est fortement masqué : une technique utilisée par les cybercriminels pour dissimuler la destination des données transmises.

En soi, rien de tout cela ne prouve l'existence d'une intention malveillante. Mais pris dans leur ensemble, ces éléments laissent entrevoir une structure mise en place à la hâte, conçue pour collecter des données plutôt que pour offrir un service financier fiable.

Le formulaire permet de recueillir des données, et coûte 20 $ par semaine

La principale préoccupation concerne le formulaire, qui recueille une quantité extraordinaire de données pour ce qui est présenté comme une simple vérification de solvabilité.

Le formulaire de candidature
Le formulaire de candidature

En surveillant le trafic réseau lors de l'envoi du formulaire, nous avons pu déterminer précisément quels champs étaient transmis :

  • Informations personnelles : prénom, nom, adresse e-mail, numéro de téléphone
  • Adresse : rue, ville, département, code postal
  • Coordonnées bancaires complètes : nom de la banque, code bancaire, code de transit, numéro de compte
  • Données de suivi liées aux campagnes publicitaires
  • Une signature tracée à l'écran, qui est ensuite téléchargée sur le Google Drive du propriétaire.

C'est bien plus que ce qui est nécessaire pour vérifier l'éligibilité à un crédit.

À partir de ces seules coordonnées bancaires, quelqu'un peut mettre en place des prélèvements automatiques frauduleux. Un prélèvement automatique est une forme de prélèvement bancaire direct utilisée légitimement par les émetteurs de factures, mais qui peut également faire l'objet d'abus.

Contrat d'abonnement
Capture d'écran agrandie de la case dans laquelle ils souhaitent cocher

Et c'est exactement ce qui semble se passer.

Une petite case à cocher, accompagnée d’une mention en petits caractères, autorise l’entreprise à prélever 20 dollars par semaine, conformément à l’accord de prélèvement automatique que la victime vient de signer. Cette case à cocher remplit deux fonctions : elle offre une couverture juridique aux opérateurs (« vous avez donné votre accord ! ») et transforme en arme les coordonnées bancaires que le formulaire vient de recueillir.

Cibler les personnes en situation de précarité financière

Cette campagne semble s'adresser délibérément aux personnes ayant un historique de crédit médiocre ou limité. La promesse d'une « approbation là où d'autres refusent » est très convaincante, en particulier pour les personnes confrontées à des difficultés financières.

Il ne s'agit pas de victimes choisies au hasard, mais de personnes ciblées parce que leur situation de détresse les rend plus enclines à divulguer des informations sensibles sans vérifier la source.

Les frais liés au compte de dépôt à la demande (PAD) de 20 $ par semaine (soit plus de 1 000 $ par an) peuvent entraîner des découverts, des frais supplémentaires et d'autres difficultés financières.

Où vont vos données

Notre analyse du trafic réseau a mis en évidence une infrastructure back-end sophistiquée et multiservice qui utilise des composants individuels pouvant tous être légitimes.

Supabase : les données relatives aux victimes sont envoyées via une requête POST vers un projet Supabase :

POST https://bstvkdzfgpktokbiagsc.supabase.co/rest/v1/vault_memberships

Supabase est une plateforme de bases de données dans le cloud fiable et réputée, proposant des formules gratuites.

Brevo (anciennement Sendinblue) : il s'agit d'une plateforme légitime d'envoi massif d'e-mails. L'inscription des victimes sur cette plateforme permet de les cibler indéfiniment avec des campagnes de suivi.

POST https://bstvkdzfgpktokbiagsc.supabase.co/functions/v1/add-to-brevo

Google Drive et Google Sheets : Le champ de données de signature comprend un signature_drive_url, ce qui laisse entendre que les signatures manuscrites des victimes pourraient être stockées sur l'infrastructure de Google Drive. A google_sheets_synced Ce champ permet de s'assurer que les données des victimes enregistrées sont répercutées en temps réel dans une feuille Google Sheet, offrant ainsi aux opérateurs un tableau de bord en temps réel de toutes les personnes ayant soumis un formulaire.

Prises séparément, ce sont des plateformes fiables. Ensemble, elles forment un système conçu pour :

  • Collecter des données personnelles et bancaires sensibles
  • Conservez-le dans des formats accessibles
  • Ajouter des utilisateurs à des campagnes de marketing en cours, voire à des campagnes de phishing

En d'autres termes, le fait de soumettre ce formulaire ne met pas seulement votre compte bancaire en danger, mais risque également de vous faire figurer sur une liste de personnes susceptibles d'être à nouveau ciblées.

Infrastructure

L'infrastructure qui sous-tend cette campagne couvre plusieurs domaines :

  • cosmosshift[.]org (expéditeur de l'e-mail)
  • yourcreditvault[.]com (page d'accueil).
  • yourscore[.]ca (redirection après l'envoi du formulaire)
  • creditresources[.]ca (e-mail de suivi contenant le numéro de téléphone 1-833-427-1562)
  • debtlesscredit[.]com (un autre site web utilisant ce même numéro de téléphone)

Le fait d'utiliser plusieurs noms de domaine et d'associer un même numéro de téléphone à plusieurs d'entre eux soulève des doutes quant à la légitimité de l'entreprise.

Alors, est-ce une arnaque ?

Cela dépend de la façon dont on le définit.

Même si cela ne correspond peut-être pas à la définition juridique stricte d'une arnaque, on comprend pourquoi Scam Guard l'a signalé, car bon nombre des techniques utilisées ici se retrouvent également dans les e-mails de hameçonnage et sur les sites web frauduleux.

Tout porte à croire que ces sites sont gérés par de véritables entreprises, mais ils se situent clairement dans une zone grise. D'un côté, ils disposent d'enregistrements d'entreprise, de sites web publics et, apparemment, même de quelques clients satisfaits. De l'autre, leur modèle économique — qui consiste à facturer des frais récurrents pour des « programmes » de crédit ou de désendettement — a généré un flux constant de plaintes de consommateurs et d'accusations d'escroquerie. L'utilisation de plusieurs domaines (Credit Resources, Debtless Credit, Your Credit Vault) indique également une stratégie de génération de prospects courante dans le secteur du désendettement.

Il est également probable que ces entreprises s'appuient sur des listes de diffusion achetées et qu'elles aient trouvé l'adresse e-mail de notre client sur une liste de prospects potentiels. Malheureusement, ce genre de listes est acheté et vendu aussi bien par des professionnels du marketing légitimes que par des cybercriminels.

Nous avons contacté l'expéditeur de l'e-mail ainsi que Credit Resources afin d'obtenir leurs commentaires, mais n'avions pas reçu de réponse au moment de la publication.

Que savent les cybercriminels à votre sujet ?

Utilisez l'analyse gratuite Digital Footprint Malwarebytes pour vérifier si vos informations personnelles ont été exposées en ligne.

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

Confidentialité
Logo de Yahoo Mail

Pourquoi Malwarebytes certaines redirections de Yahoo Mail

Mai 14, 2026

Certains utilisateurs de Yahoo Mail peuvent recevoir Malwarebytes répétées Malwarebytes dues à des connexions en arrière-plan vers des domaines tiers suspects. Voici pourquoi.

Insectes
Logo Microsoft

Mise à jour du mardi de mai 2026 : pas de vulnérabilités « zero-day », mais de nombreux correctifs à installer

Mai 13, 2026

Le « Patch Tuesday » de mai n'est peut-être pas la mise à jour majeure à laquelle beaucoup s'attendaient, mais il contient tout de même de nombreux correctifs importants qu'il ne faut pas négliger.

Actualités
Logo Claude

De faux résultats de recherche concernant Claude attirent Mac dans une attaque ClickFix

Mai 12, 2026

Des chercheurs ont découvert une campagne ClickFix qui utilise de faux guides d'installation de Claude pour inciter Mac à infecter eux-mêmes leur ordinateur.

Articles connexes

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries