Les arnaques par SMS continuent de proliférer à une vitesse alarmante à travers le globe. Cette recrudescence d’attaques de phishing est principalement due à l’apparition de plateformes criminelles automatisées. Parmi elles, Lucid, une plateforme redoutablement performante, conçue par des cybercriminels chinois, se distingue particulièrement.
Le nombre d’arnaques par SMS ne cesse de croître dans le monde entier. Les cybercriminels ciblent de plus en plus les smartphones lors de leurs attaques. En 2023, le service 33700, qui recueille les signalements de spams par SMS, a enregistré 3,4 millions de signalements en France, contre 2,2 millions l’année précédente. Selon la société de cybersécurité Proofpoint, on estime entre 300 000 et 400 000 les tentatives quotidiennes de phishing par SMS dans le monde.
Depuis l’été 2023, « les SMS et e-mails frauduleux de type phishing, usurpant l’identité de diverses organisations, sont devenus de plus en plus courants, notamment en Europe, au Royaume-Uni et aux États-Unis », rapporte Prodaft dans une publication du 24 mars 2025. Pour expliquer cette explosion des attaques par hameçonnage sur mobile, les experts de Prodaft pointent du doigt l’émergence d’une nouvelle plateforme criminelle, Lucid. Développée par les cybercriminels chinois de XinXin depuis 2023, cette plateforme permet de mener des escroqueries par SMS ciblant les iPhone et les smartphones Android.
À lire aussi : Arnaques en ligne – nos 7 conseils pour repousser les escrocs
Lucid : Un outil de phishing vendu sur Telegram
Lucid est disponible sous la forme d’un abonnement payant. Pour générer des revenus, les pirates chinois ont choisi le modèle PhaaS (Phishing-as-a-Service). En s’abonnant à Lucid, les utilisateurs ont accès à plus de 1 000 noms de domaines de phishing, à des sites personnalisés de phishing, et à des outils de spams très efficaces.
En somme, ils disposent de tous les outils nécessaires pour mener une cyberattaque de A à Z. Les hackers de XinXin commercialisent leurs services via Telegram, la messagerie chiffrée devenue un véritable repaire pour les cybercriminels.
100 000 messages de phishing par jour
Sur un canal dédié, les pirates prétendent que Lucid peut envoyer 100 000 messages de phishing par jour, que ce soit par SMS ou iMessage. Ils assurent que les messages transmis par Lucid sont chiffrés pour passer outre « les filtres anti-spam SMS classiques ». Ces précautions augmentent les chances que les victimes tombent dans le piège.
Une interface simple et intuitive
Pour expédier autant de messages quotidiennement, Lucid s’appuie sur des fermes composées de centaines d’appareils Android et iOS. Une vidéo promotionnelle de Lucid montre que les abonnés peuvent mener leurs attaques même en déplacement.
Interrogé sur cette démonstration par Bleeping Computer, Prodaft explique que « le but principal de cette vidéo, montrant l’envoi de messages d’hameçonnage depuis les appareils des victimes en voiture, est de souligner la facilité avec laquelle n’importe qui peut se retrouver impliqué dans ce type d’opération ».
« Certains cybercriminels privilégient des campagnes de spam à faible risque et à faible rendement, car elles nécessitent peu de compétences techniques ou d’infrastructure. Ils s’appuient souvent sur des appareils physiques recyclés ou des outils de virtualisation pour automatiser l’envoi massif de messages », explique Prodaft.
Les arnaques à la livraison de colis
Les messages envoyés prétendent provenir d’entités reconnues telles que USPS, DHL, Royal Mail, FedEx, Revolut, Amazon, American Express, ou encore HSBC. Souvent, les utilisateurs de Lucid orchestrent des arnaques à la livraison de colis. Généralement, ces offensives visent à voler un maximum de données personnelles, comme le nom, l’adresse e-mail, l’adresse postale et les informations bancaires des victimes. Lucid intègre même un validateur de carte de crédit, permettant aux pirates de vérifier la validité des données obtenues.
La plateforme permet d’usurper l’identité de 169 entités différentes, réparties dans 188 pays à travers le monde. Parmi les cibles françaises, on trouve amendes.gouv.fr, le site officiel pour payer ses amendes routières, et le site de La Poste. Comme l’indiquent les chercheurs de Prodaft, « Lucid représente une cybermenace importante et continue ». Ce type de plateforme est en nette augmentation, avertit le rapport des experts.
Restez toujours à la pointe avec nous et découvrez pourquoi notre blog est la référence incontournable des amateurs de gadgets et de technologie.