re: Dernière relance avant une majoration [DD-612632-D6288] _{^(2023-10-26)}

Aperçu

Threat actors collecting personal information and credit card credentials

Explication

Threat actors are using a Guichet.lu phishing theme to collect Luxtrust credentials.

As seen previously, the mail leads the user to believe that they are late in paying for a traffic offense.

The link (https://csa.services-publics.lu/contraventions/) is a label to portray a sense of legitimacy and acquire the users’ trust. By hovering over it, the real destination is shown.

Clicking on the link takes the user to the landing page.

Upon clicking “Continuer”, the user is taken to a second page that requests the registration number of the car.
The third page presents a fake fine invoice, due to alleged improper parking.
The fourth page requests detailed personal information including the name, family name, address, phone number, and date of birth.
The fifth page solicits the victim’s credit card details.
A sixth page is presented, showing a confirmation text stating that the payment has been successfully executed.
Upon clicking “Finir”, the victim is redirected to the official myguichet.lu website.

Exemple

---

Prévention

Si vous avez des questions d'authenticité sur un courriel, n'hésitez pas à contacter l'institution que semble vous avoir envoyé le courriel par un moyen officiel de communication, comme par exemple le téléphone (le numéro est à vérifier de façon manuelle, n'utilisez pas les numéros indiqués dans le courriel qui vous semble frauduleux).
Si vous travaillez pour l'État luxembourgeois ou si vous profitez de l'un des services du GOVCERT.LU, il est important de nous rapporter ces courriels frauduleux (via Signaler un incident ou le bouton dans Outlook) aussi tôt que possible afin qu'ils puissent bloquer l'accès vers le site et ainsi protéger toutes les autres personnes qui tenteraient d'entrer des données sur le site frauduleux.