📢 Opération ATLANTIC : la NCA cible la fraude aux cryptoactifs par ' approval phishing '
📝 ## 🌐 Contexte
Publié le 15 avril 2026 sur le site officiel de la National Crime Agency (NCA), cet article présente l'**Opération ATLANTI...
📖 cyberveille : https://cyberveille.ch/posts/2026-04-15-operation-atlantic-la-nca-cible-la-fraude-aux-cryptoactifs-par-approval-phishing/
🌐 source : https://www.nationalcrimeagency.gov.uk/news/operation-atlantic
#TTP #approval_phishing #Cyberveille
Opération ATLANTIC : la NCA cible la fraude aux cryptoactifs par ' approval phishing '
🌐 Contexte Publié le 15 avril 2026 sur le site officiel de la National Crime Agency (NCA), cet article présente l’Opération ATLANTIC, une initiative internationale en cours impliquant la NCA britannique, l’United States Secret Service et les autorités canadiennes (Ontario Provincial Police).
🎯 Nature de l’opération L’opération vise à identifier et contacter des individus potentiellement victimes de fraude aux cryptoactifs, en particulier via la technique dite d’« approval phishing ». Les forces de l’ordre collaborent avec des Virtual Asset Service Providers (VASP) opérant au Royaume-Uni pour joindre les victimes par téléphone et email.
Xinbi Guarantee : le marché noir crypto à 21 Md$ toujours actif sur Telegram malgré les sanctions UK
📰 Source : WIRED (Andy Greenberg), publié le 14 avril 2026. L’article documente la persistance du marché noir Xinbi Guarantee sur Telegram, malgré les sanctions officielles du gouvernement britannique prononcées le 26 mars 2026.
🏪 Contexte du marché noir Xinbi Guarantee opère depuis trois ans et demi sur Telegram comme une place de marché en langue chinoise proposant :
Des services de blanchiment de cryptomonnaies pour des arnaqueurs Des équipements de coercition physique (matraques électriques, tasers, menottes) destinés aux opérations de traite humaine Des services de harcèlement à la demande De la prostitution impliquant des mineurs (victimes de traite) 💰 Ampleur financière Selon la société de traçage crypto Elliptic, Xinbi Guarantee a facilité 21 milliards de dollars de transactions au total. Dans les 19 jours suivant les sanctions UK, le marché a généré 505 millions de dollars supplémentaires et atteint près de 500 000 utilisateurs acheteurs et vendeurs.
Cyberattaque contre un prestataire IT paralyse l'administration communale de Vétroz (Valais)
🗓️ Contexte Article de presse généraliste publié le 15 avril 2026 par Le Nouvelliste, relatant un incident de sécurité informatique majeur touchant la commune de Vétroz, dans le canton du Valais (Suisse).
🎯 Nature de l’incident L’attaque est décrite comme ciblée et dirigée non pas directement contre la commune, mais contre son prestataire externe en charge des services numériques. Ce vecteur de type supply chain / tiers de confiance a entraîné une paralysie complète de l’administration communale : bases de données et logiciels essentiels sont inaccessibles.
Attaque ransomware contre Coral Bay Nickel, filiale philippine de Sumitomo Metal Mining
🗓️ Contexte Source : TipRanks (annonce d’entreprise), publiée le 9 avril 2026. Sumitomo Metal Mining, groupe japonais minier et métallurgique, a divulgué une attaque par ransomware ayant ciblé sa filiale philippine de fusion de nickel, Coral Bay Nickel Corporation.
🔐 Nature de l’incident L’attaque a impliqué un accès non autorisé par un tiers ayant conduit au chiffrement de deux serveurs. Dès la détection, les serveurs affectés ont été isolés et des spécialistes externes ont été mobilisés pour investiguer l’étendue de la compromission et restaurer les systèmes.
Booking.com confirme une violation de données exposant les informations personnelles de clients
📰 Contexte Source : TechCrunch — Article publié le 13 avril 2026. Booking.com, plateforme mondiale de réservation hôtelière revendiquant 6,8 milliards de réservations depuis 2010, a officiellement confirmé une violation de données affectant des informations personnelles de clients.
🔓 Nature de l’incident Des tiers non autorisés ont accédé à des informations de réservation de clients. Les données compromises incluent :
Noms Adresses email Numéros de téléphone Détails de réservation Informations partagées avec l’hébergement La porte-parole Courtney Camp a précisé que les informations financières n’ont pas été accédées et que les adresses physiques n’ont pas été dérobées.
📢 Hallmark : violation de données via Salesforce, 1,7M d'adresses email exposées
📝 ## 🗓️ Contexte
Source : Have I Been Pwned (haveibeenpwned.com), publié le 12 avril 2026.
📖 cyberveille : https://cyberveille.ch/posts/2026-04-14-hallmark-violation-de-donnees-via-salesforce-17m-d-adresses-email-exposees/
🌐 source : https://haveibeenpwned.com/Breach/Hallmark
#Salesforce #TTP #Cyberveille
Hallmark : violation de données via Salesforce, 1,7M d'adresses email exposées
🗓️ Contexte Source : Have I Been Pwned (haveibeenpwned.com), publié le 12 avril 2026. L’incident concerne la société Hallmark et son service de streaming Hallmark+.
🔓 Nature de l’incident En mars 2026, des attaquants ont obtenu un accès non autorisé à des données stockées dans Salesforce, la plateforme CRM utilisée par Hallmark. Suite à cet accès, les attaquants ont procédé à une tentative d’extorsion. À l’expiration du délai fixé par les attaquants, les données ont été publiées publiquement.
Démantèlement de VerifTools : 8 arrestations après la saisie d'une plateforme de faux documents d'identité
🗓️ Contexte Source : Police nationale néerlandaise (politie.nl), publiée le 9 avril 2026. L’article rend compte d’une opération policière menée les 7 et 8 avril 2026, faisant suite à la saisie de la plateforme VerifTools le 27 août 2025, réalisée en coopération avec le FBI américain.
🎯 La plateforme VerifTools VerifTools est décrite comme l’une des plus grandes plateformes de génération de faux documents d’identité (passeports, permis de conduire, titres de séjour). Elle était accessible via plusieurs URLs et permettait à ses utilisateurs de :
Campagnes de phishing multi-canaux usurpant l'identité de SNCF Connect en France
📅 Source : Clubic, publié le 5 avril 2026.
Contexte La SNCF a diffusé un courrier électronique d’alerte à ses voyageurs pour les prévenir de campagnes malveillantes actives usurpant l’identité de SNCF Connect. Ces campagnes sont diffusées via plusieurs canaux : e-mail, SMS (SMiShing), Messenger et WhatsApp.
Techniques d’attaque observées Reproduction fidèle du logo, des couleurs et de la mise en page des communications officielles SNCF Connect Fausses promotions : réduction de 95% sur la Carte Avantage, valable 48 heures, incitant à cliquer en urgence Prétexte de remboursement : exploitation de grèves ou perturbations récentes pour soutirer des coordonnées bancaires SMiShing : envoi de SMS frauduleux Faux comptes sur Messenger et WhatsApp se faisant passer pour SNCF Connect Reproduction de l’apparence de l’application mobile SNCF Connect Objectif des attaquants Vol de données personnelles et de coordonnées bancaires des victimes.
Cyberattaque ransomware contre Ymed (Bordeaux) : 250 000 données médicales compromises
📰 Source : France 3 Nouvelle-Aquitaine — publié le 8 avril 2026
Contexte Ymed, entreprise bordelaise spécialisée dans le développement informatique, notamment de solutions de prise de rendez-vous en ligne pour des centres d’imagerie médicale, a été victime d’une cyberattaque majeure entre le 4 et le 6 avril 2026.
Déroulement de l’attaque Le groupe de hackers xp95 a ciblé le logiciel SoonCare, plateforme de prise de rendez-vous médicaux en ligne développée par Ymed. La méthode utilisée est un ransomware (rançongiciel), ayant permis l’exfiltration de données personnelles et médicales d’environ 250 000 personnes. Les attaquants ont adressé une demande de rançon de 20 000 dollars en bitcoins par e-mail à la société. Impact ~250 000 personnes potentiellement affectées (données personnelles et médicales). Suspension temporaire du service SoonCare décidée par Ymed pour prévenir toute nouvelle intrusion. La CNIL a été notifiée afin d’alerter les victimes. Les forces de l’ordre sont mobilisées dans le cadre d’une enquête. Position de la victime La présidente d’Ymed indique qu’aucune preuve de divulgation ou d’exploitation frauduleuse des données n’a été établie à ce stade des investigations.
CyberVeille.ch