Attention Phishing.rtf
Transcription
Attention Phishing.rtf
Attention Phishing! Quoi? Des sites miroirs semblables à des portails de renom (Paypal, Ebay, sites de Banques...) arrosent au hasard les internautes avec un courrier non sollicité qui reprend l'habillage graphique du portail détourné. Le but du jeu est alors d'attirer un internaute réellement client du site contrefait. Le courriel invite l'internaute à se rendre sur le faux site pour remettre à jour certains renseignements personnels dans un questionnaire tout aussi faux en prétextant par exemple une mise à jour du service, une intervention du support technique, etc. Les adresses électroniques sont collectées au hasard sur Internet, le message tombe en générale sur un internaute qui n'est pas client de la banque de laquelle le courrier semble provenir. Mais sur la quantité des messages envoyés il arrive que le destinataire soit client de la banque. L'internaute ainsi dupé laisse numéros de téléphone, de sécurité sociale, de compte bancaire et parfois de carte de crédit. Autant d'informations lucratives pour les escrocs en ligne. Exemple: La réception d'un email Paypal vous informant que votre compte a été suspendu. Le courriel vous indique que votre compte est suspendu pour des raisons de sécurité et vous enjoint à vous connecter sur le site Paypal pour confirmer vos informations de facturation. Naturellement, le site en question récupère les identifiants et mot de passe ainsi saisis pour les exploiter frauduleusement. Etude d'un cas Paypal: Voici le code source d'un courriel supposé venir de Paypal France. Sujet: Suspension Provisoire de Compte Return-Path: <[email protected]> Delivery-Date: Wed, 14 Jan 2009 22:56:05 +0100 Received: from mail.charlescolehospital.com (mail.charlescolehospital.com [64.8.90.218]) by mx.kundenserver.de (node=mxeu25) with ESMTP (Nemesis) id 0MKstg-1LNDiS03NM-000drF for [email protected]; Wed, 14 Jan 2009 22:56:05 +0100 Received: from User ([75.127.135.213]) by mail.charlescolehospital.com with Microsoft SMTPSVC(6.0.3790.3959); Wed, 14 Jan 2009 16:56:31 -0500 Reply-To: <[email protected]> From: "PayPal"<[email protected]> Subject: Suspension Provisoire de Compte Date: Wed, 14 Jan 2009 16:55:58 -0500 ... <a href="http://219.95.82.102/paypal.fr/cgi-bin/webscrcmd=_login-run/webscrcmd=_account-run/updatespaypal/confirm-paypal" target="_blank">Cliquez ici pour commencer la procedure </a> </tr> URL bidon évidemment! Un vrai courriel de Paypal: Return-Path: <[email protected]> Delivery-Date: Fri, 06 Feb 2009 16:24:35 +0100 Received-SPF: pass (mxeu3: domain of email.paypal.fr designates 206.165.243.134 as permitted sender) clientip=206.165.243.134; [email protected]; helo=email-134.paypal.com; Received: from email-134.paypal.com (email-134.paypal.com [206.165.243.134]) by mx.kundenserver.de (node=mxeu3) with ESMTP (Nemesis) id 0MKqIe-1LVSZ41MO0-000Wwe for [email protected]; Fri, 06 Feb 2009 16:24:35 +0100 DomainKey-Signature: a=rsa-sha1; h=Date:From:Subject:To:X-Header-CompanyDBUserName:ListUnsubscribe:Reply-To:X-Header-MasterId:X-Header-Versions:Message-ID:MIME-Version:Content-Type; b=nfTdasGO+63ucdnpOrdjXHyvaF2EDgiYlw2PsZ8DNXJHfN4PuwuV4He82URfZLNOy0NKF67BVcn8WviaJYAh xBk27QTJ8fj7Y9u0HxVV0V85wCuSLk7okJo6C/Drzul0; c=nofws; d=email.paypal.fr; q=dns; s=yesmail1 Date: Fri, 06 Feb 2009 07:23:55 PST From: PayPal <[email protected]> Page 1 sur 2 Subject: Toto Cotognu, simplifiez-vous le shopping en ligne To: "Toto Cotognu" <[email protected]> X-Header-CompanyDBUserName: paypalint List-Unsubscribe: <mailto:[email protected]?subject=unsubscribe> Etude d'un cas Ebay: Là je n'ai pas de vrai message Ebay, je me suis désinscrit de ce truc depuis longtemps! Return-Path: <[email protected]> Delivery-Date: Mon, 15 Dec 2008 13:35:59 +0100 Received-SPF: softfail (mxeu5: transitioning domain of ebay.fr does not designate 62.67.235.101 as permitted sender) client-ip=62.67.235.101; [email protected]; helo=s101.evanzo-server.de; Received: from s101.evanzo-server.de (s101.evanzo-server.de [62.67.235.101]) by mx.kundenserver.de (node=mxeu5) with ESMTP (Nemesis) id 0MKqpg-1LCCfv1SYZ-000k2T for [email protected]; Mon, 15 Dec 2008 13:35:59 +0100 Received: (qmail 14231 invoked from network); 15 Dec 2008 13:22:38 +0100 Received: from 240.red-79-148-116.staticip.rima-tde.net (HELO User) (79.148.116.240) by s101.evanzo-server.de with SMTP; 15 Dec 2008 13:22:37 +0100 Reply-To: <[email protected]> From: "eBay"<[email protected]> Subject: eBay.fr Compte Alert Ce n'est pas très compliqué de voir qu'Ebay n'y est pour rien dans ce courriel. Quand on fait une recherche whois sur le numéro IP de l'adresse on ne trouve personne! Quoi faire? Pour une sécurité maximum, bannissez le html dans l'affichage de vos courriels. Configurez votre logiciel de messagerie de telle manière qu'il n'affiche les messages qu'au format texte. Si vous affichez encore vos messages en html, ne cliquez pas sur les boutons ou liens vous invitant à le faire. Méfiez-vous des formulaires demandant des informations bancaires. C’est impossible qu'une banque vous demande des renseignements aussi importants par un simple courrier électronique. Si vous avez un doute connectez-vous sur le site officiel avec identifiant et mot de passe et là vous verrez s'il y a réellement un problème ou contactez directement votre agence par téléphone ! Assurez-vous, lorsque vous saisissez des informations sensibles, que le navigateur est en mode sécurisé, et que l'adresse dans la barre du navigateur commence par https avec un petit cadenas affiché dans la barre d'état au bas de votre navigateur. Vérifiez également que le domaine du site dans l'adresse correspond bien à celui annoncé (attention à l'orthographe du domaine) ! http://www.commentcamarche.net et autres sites Page 2 sur 2