Attention Phishing.rtf

Attention Phishing!
Quoi?
Des sites miroirs semblables à des portails de renom (Paypal, Ebay, sites de Banques...) arrosent au
hasard les internautes avec un courrier non sollicité qui reprend l'habillage graphique du portail
détourné.
Le but du jeu est alors d'attirer un internaute réellement client du site contrefait. Le courriel invite
l'internaute à se rendre sur le faux site pour remettre à jour certains renseignements personnels dans
un questionnaire tout aussi faux en prétextant par exemple une mise à jour du service, une
intervention du support technique, etc.
Les adresses électroniques sont collectées au hasard sur Internet, le message tombe en générale sur
un internaute qui n'est pas client de la banque de laquelle le courrier semble provenir. Mais sur la
quantité des messages envoyés il arrive que le destinataire soit client de la banque.
L'internaute ainsi dupé laisse numéros de téléphone, de sécurité sociale, de compte bancaire et
parfois de carte de crédit. Autant d'informations lucratives pour les escrocs en ligne.
Exemple:
La réception d'un email Paypal vous informant que votre compte a été suspendu. Le courriel vous
indique que votre compte est suspendu pour des raisons de sécurité et vous enjoint à vous connecter
sur le site Paypal pour confirmer vos informations de facturation. Naturellement, le site en question
récupère les identifiants et mot de passe ainsi saisis pour les exploiter frauduleusement.
Etude d'un cas Paypal:
Voici le code source d'un courriel supposé venir de Paypal France.
Sujet: Suspension Provisoire de Compte
Return-Path: <[email protected]>
Delivery-Date: Wed, 14 Jan 2009 22:56:05 +0100
Received: from mail.charlescolehospital.com (mail.charlescolehospital.com [64.8.90.218])
by mx.kundenserver.de (node=mxeu25) with ESMTP (Nemesis)
id 0MKstg-1LNDiS03NM-000drF for [email protected]; Wed, 14 Jan 2009 22:56:05 +0100
Received: from User ([75.127.135.213]) by mail.charlescolehospital.com with Microsoft
SMTPSVC(6.0.3790.3959);
Wed, 14 Jan 2009 16:56:31 -0500
Reply-To: <[email protected]>
From: "PayPal"<[email protected]>
Subject: Suspension Provisoire de Compte
Date: Wed, 14 Jan 2009 16:55:58 -0500
...
<a href="http://219.95.82.102/paypal.fr/cgi-bin/webscrcmd=_login-run/webscrcmd=_account-run/updatespaypal/confirm-paypal" target="_blank">Cliquez ici pour commencer la procedure </a>
</tr>
URL bidon évidemment!
Un vrai courriel de Paypal:
Return-Path: <[email protected]>
Delivery-Date: Fri, 06 Feb 2009 16:24:35 +0100
Received-SPF: pass (mxeu3: domain of email.paypal.fr designates 206.165.243.134 as permitted sender) clientip=206.165.243.134; [email protected]; helo=email-134.paypal.com;
Received: from email-134.paypal.com (email-134.paypal.com [206.165.243.134])
by mx.kundenserver.de (node=mxeu3) with ESMTP (Nemesis)
id 0MKqIe-1LVSZ41MO0-000Wwe for [email protected]; Fri, 06 Feb 2009 16:24:35 +0100
DomainKey-Signature: a=rsa-sha1; h=Date:From:Subject:To:X-Header-CompanyDBUserName:ListUnsubscribe:Reply-To:X-Header-MasterId:X-Header-Versions:Message-ID:MIME-Version:Content-Type;
b=nfTdasGO+63ucdnpOrdjXHyvaF2EDgiYlw2PsZ8DNXJHfN4PuwuV4He82URfZLNOy0NKF67BVcn8WviaJYAh
xBk27QTJ8fj7Y9u0HxVV0V85wCuSLk7okJo6C/Drzul0; c=nofws; d=email.paypal.fr; q=dns; s=yesmail1
Date: Fri, 06 Feb 2009 07:23:55 PST
From: PayPal <[email protected]>
Page 1 sur 2
Subject: Toto Cotognu, simplifiez-vous le shopping en ligne
To: "Toto Cotognu" <[email protected]>
X-Header-CompanyDBUserName: paypalint
List-Unsubscribe: <mailto:[email protected]?subject=unsubscribe>
Etude d'un cas Ebay:
Là je n'ai pas de vrai message Ebay, je me suis désinscrit de ce truc depuis longtemps!
Return-Path: <[email protected]>
Delivery-Date: Mon, 15 Dec 2008 13:35:59 +0100
Received-SPF: softfail (mxeu5: transitioning domain of ebay.fr does not designate 62.67.235.101 as permitted
sender) client-ip=62.67.235.101; [email protected]; helo=s101.evanzo-server.de;
Received: from s101.evanzo-server.de (s101.evanzo-server.de [62.67.235.101])
by mx.kundenserver.de (node=mxeu5) with ESMTP (Nemesis)
id 0MKqpg-1LCCfv1SYZ-000k2T for [email protected]; Mon, 15 Dec 2008 13:35:59 +0100
Received: (qmail 14231 invoked from network); 15 Dec 2008 13:22:38 +0100
Received: from 240.red-79-148-116.staticip.rima-tde.net (HELO User) (79.148.116.240)
by s101.evanzo-server.de with SMTP; 15 Dec 2008 13:22:37 +0100
Reply-To: <[email protected]>
From: "eBay"<[email protected]>
Subject: eBay.fr Compte Alert
Ce n'est pas très compliqué de voir qu'Ebay n'y est pour rien dans ce courriel. Quand on fait une
recherche whois sur le numéro IP de l'adresse on ne trouve personne!
Quoi faire?
Pour une sécurité maximum, bannissez le html dans l'affichage de vos courriels. Configurez votre
logiciel de messagerie de telle manière qu'il n'affiche les messages qu'au format texte.
Si vous affichez encore vos messages en html, ne cliquez pas sur les boutons ou liens vous invitant à
le faire.
Méfiez-vous des formulaires demandant des informations bancaires. C’est impossible qu'une banque
vous demande des renseignements aussi importants par un simple courrier électronique. Si vous avez
un doute connectez-vous sur le site officiel avec identifiant et mot de passe et là vous verrez s'il y a
réellement un problème ou contactez directement votre agence par téléphone !
Assurez-vous, lorsque vous saisissez des informations sensibles, que le navigateur est en mode
sécurisé, et que l'adresse dans la barre du navigateur commence par https avec un petit cadenas
affiché dans la barre d'état au bas de votre navigateur. Vérifiez également que le domaine du site
dans l'adresse correspond bien à celui annoncé (attention à l'orthographe du domaine) !
http://www.commentcamarche.net et autres sites
Page 2 sur 2