Un kit de phishing baptisé Spiderman commence à circuler sur les réseaux clandestins et reproduit avec une fidélité troublante les sites de nombreuses banques européennes. Identifiants, codes d’authentification, données financières, tout peut y passer, et l’outil séduit déjà une communauté active de cybercriminels.
Les chercheurs de Varonis ont rapporté avoir découvert un kit de phishing baptisé Spiderman, révélant au passage une offensive d’un autre niveau contre les utilisateurs et utilisatrices de services financiers en Europe. Cette plateforme prête à l’emploi reproduit les portails de banques et de fintech au pixel près, intercepte les codes de double authentification en temps réel et collecte les données bancaires ou crypto sans difficulté, et suscite déjà un réel engouement dans certains cercles de cybercriminels, en partie parce qu’elle centralise toutes les étapes de l’attaque dans un tableau de bord conçu pour suivre les victimes tout au long de leur parcours.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un kit pensé pour industrialiser le phishing financier en Europe
Dans le détail, le rapport de Varonis fait état d’un outil qui redéfinit l’organisation des campagnes de phishing ciblant le secteur financier européen. Le kit ne se présente pas comme un simple clone de pages bancaires, mais comme une plateforme structurée qui regroupe dans une seule interface les portails de dizaines d’institutions réparties dans plusieurs pays. Les attaquants peuvent imiter des banques majeures, des services de paiement en ligne ou des plateformes liées aux cryptomonnaies, et même reproduire certains portails administratifs. Cette consolidation donne une amplitude nouvelle aux campagnes, puisqu’elle permet de se déplacer rapidement d’un pays à l’autre et d’adapter les attaques aux pratiques locales. Les captures du tableau de bord de Spiderman montrent d’ailleurs une vaste sélection de cibles en Allemagne, en Belgique, en Suisse, en Espagne ou encore au Portugal, avec des institutions comme Deutsche Bank, ING, Commerzbank, CaixaBank ou Volksbank.
La prise en main est volontairement simplifiée. L’opérateur choisit l’établissement visé, génère une copie fidèle du site, prépare les étapes d’authentification et n’a plus qu’à diffuser le lien piégé. Le kit s’occupe du reste en orchestrant chaque phase du parcours frauduleux. Dès qu’une victime saisit son identifiant, la session apparaît dans le tableau de bord de Spiderman, qui affiche en temps réel les interactions, les données recueillies et l’avancement du scénario. L’attaquant peut ensuite déclencher des demandes supplémentaires afin d’obtenir un code PhotoTAN (sorte de QR code propre au secteur bancaire, permettant de générer un code unique pour valider une opération), des données personnelles ou des éléments permettant de contourner les sécurités mises en place par les banques européennes.
Varonis note également que Spiderman accorde une attention particulière aux portefeuilles crypto. Le kit embarque des modules capables de dérober les seed phrases de services comme Ledger, Metamask ou Exodus, ce qui élargit son champ d’exploitation au-delà de la fraude bancaire traditionnelle. Les informations recueillies chemin faisant (identifiants, données personnelles, numéros de carte, codes d’authentification, seed phrases) suffisent ensuite à alimenter des scénarios variés de prise de contrôle de comptes, de fraude à la carte ou de SIM swap, avec un niveau de détail rarement atteint par des kits plus rudimentaires.
L’efficacité du dispositif repose aussi sur un ensemble de filtres destinés à limiter son exposition. Le kit sélectionne les visiteurs selon leur pays, leur FAI ou leur appareil, bloque les connexions VPN ou d’infrastructures cloud et redirige discrètement les profils jugés indésirables vers des pages légitimes. Cette approche réduit les chances de détection, car les outils de surveillance automatisés n’accèdent souvent qu’aux redirections inoffensives. L’ensemble dessine une plateforme pensée pour durer, capable d’évoluer au rythme des procédures bancaires et soutenue par une communauté déjà active. Un groupe Signal associé au vendeur réunit plusieurs centaines de personnes, ce qui témoigne de la diffusion rapide du kit et d’un usage probablement déjà bien établi.
Les bons réflexes pour contrer une imitation aussi convaincante
Les campagnes de phishing reposent toujours sur un point d’entrée ultra-classique, à savoir le lien qui redirige l’internaute vers une page malveillante. Cette étape demeure la plus fragile pour les attaquants, ce qui rend quelques réflexes particulièrement utiles. Vérifiez systématiquement le nom de domaine avant de saisir des identifiants, surtout lorsque la page semble familière. D’autant que de nombreux kits de phishing intègrent désormais de fausses fenêtres imitant l’interface du navigateur, technique dite du Browser-in-Browser, suivant laquelle une pop-up factice reproduit à l’identique celles de sites légitimes, d’où l’importance d’observer attentivement l’adresse affichée et le comportement de la fenêtre.
Une demande d’authentification qui arrive sans action préalable doit toujours éveiller un doute. Signalez immédiatement à votre banque tout SMS de validation, PhotoTAN ou code à usage unique reçu sans avoir initié de transaction, car il s’agit très probablement d’une tentative d’accès frauduleux. Pour éviter de cliquer sur un lien piégé, accédez à vos services financiers depuis des favoris enregistrés ou via l’application officielle plutôt qu’à partir d’un mail ou d’un message reçu sur votre smartphone.
Enfin, en cas de fraude avérée, prévenez sans délai votre établissement bancaire, et pensez à déclarer l’attaque au 17Cyber, le service national chargé de centraliser les signalements d’arnaques et d’escroqueries en ligne et d’orienter les victimes.
Source : Varonis
