CloudSEK publie une analyse sur l’exploitation de la fête indienne de Raksha Bandhan par des cybercriminels, décrivant des campagnes de phishing, des fraudes UPI et des sites e‑commerce factices visant les acheteurs à l’occasion du festival.

L’étude met en avant des campagnes de phishing et d’ingénierie sociale jouant sur l’urgence et les promotions de fête : offres de cadeaux frauduleuses, fausses notifications de livraison, et escroqueries UPI orchestrées via des invites « intent-based » sur mobile.

Côté infrastructure, les acteurs utilisent des techniques d’usurpation de domaine avec manipulation d’URL via le symbole « @ », hébergent des kits de phishing sur des domaines dédiés (ex. rakshabandhanofer.xyz) et mènent des campagnes publicitaires sur les réseaux sociaux. Le ciblage est multilingue (hindi, télougou, tamoul), élargissant la portée des arnaques.

L’enquête fournit des éléments d’attribution : un ID UPI spécifique relié à un enregistrement d’entreprise (« udayrajkiranastore ») et à un profil Facebook d’un opérateur présumé (Shyam Saini). Le rapport inclut également des stratégies de prévention pour particuliers et organisations.

IOCs et TTPs extraits :

  • IOCs :
    • Domaine de phishing : rakshabandhanofer.xyz
    • ID UPI : 34161FA82032*AA2D24E6B40@mairtel
    • Entité liée : « udayrajkiranastore » (enregistrement d’entreprise)
    • Identité liée : Shyam Saini (profil Facebook, opérateur présumé)
  • TTPs :
    • Usurpation d’URL avec symbole « @ »
    • Hébergement de kits de phishing sur domaines dédiés
    • Fraude UPI via prompts « intent-based » sur mobile
    • Publicités ciblées sur les réseaux sociaux
    • Leures multilingues (hindi, télougou, tamoul) 🎯

Type d’article : analyse de menace visant à documenter les vecteurs d’attaque, l’infrastructure et des éléments d’attribution autour d’arnaques liées au festival.

🧠 TTPs et IOCs détectés

TTPs

[‘Usurpation d’URL avec symbole «@»’, ‘Hébergement de kits de phishing sur domaines dédiés’, ‘Fraude UPI via prompts «intent-based» sur mobile’, ‘Publicités ciblées sur les réseaux sociaux’, ‘Leures multilingues (hindi, télougou, tamoul)’]

IOCs

[‘Domaine de phishing: rakshabandhanofer.xyz’, ‘ID UPI: 34161FA82032*AA2D24E6B40@mairtel’, ‘Entité liée: udayrajkiranastore’, ‘Identité liée: Shyam Saini’]


🔗 Source originale : https://www.cloudsek.com/blog/raksha-bandhan-scams-how-cybercriminals-are-exploiting-the-festival-spirit

🖴 Archive : https://web.archive.org/web/20250808143300/https://www.cloudsek.com/blog/raksha-bandhan-scams-how-cybercriminals-are-exploiting-the-festival-spirit