🎣 Le CH "frais" du jour

Intéressant exemple de campagne qui joue sur le temps et la répétition plutôt que sur l’urgence immédiate.

Le scénario est construit en deux emails distincts, envoyés à quelques second d’intervalle ...un dimanche (jour off en principe pour les équipe de défense et pour notre vigilance numérique).

Le premier message est volontairement banal :
il informe simplement qu’un remboursement SWICA pour l’année 2026 est enregistré, et que “plus d’informations suivront par e-mail”.

Pas de lien, pas de pièce jointe, pas d’appel à l’action.
Juste assez pour planter l’idée

Le message est décliné en allemand, français et italien, exactement comme les communications officielles en Suisse.

À ce stade, rien à signaler pour un utilisateur non averti ( à part le domain d'envoi sbb-client-verify-info.atlassian... )

Puis arrive le second mail.

Cette fois, le message est beaucoup plus travaillé :
branding SWICA propre, montant précis (CHF 311.82), numéro de référence, et surtout un bouton bien visible :
« Rückerstattung starten ».

Le lien commence avec le service de link shortner du réseau social du président des États-Unis (truthsocial -->pas encore filtré par lea plus part des institutions...) qui renvoie vers une domain dédiée abusant explicitement du nom de la société pour renforcer la crédibilité, et protégé, bien évidemment, par Cloudflare.

On est clairement sur un abus de plateformes SaaS légitimes pour bénéficier de leur réputation et contourner les filtres antispam.

Détail intéressant : cette infra d'envoi semble recyclée d’une campagne précédente, probablement orientée CFF, puis réhabillée pour SWICA.
Un bon exemple de mutualisation côté attaquant.

Ce qui fait la force de cette campagne, ce n’est pas une technique innovante, mais :

la temporalité (préparation → action) en week-end,

l’absence de signaux faibles dans le premier mail,

et l’abus d’acteurs légitimes (Atlassian, Cloudflare) comme relais de confiance.

👀
⬇️
lookyloo.circl.lu/tree/72ab668
⬇️
urlscan.io/result/019b885f-22f