Attention au "phishing"...

21/01-2005 à 22:47Deuxième leçon de mise en garde contre les gros méchants vilains du courrier électronique.
Une pratique que j'ai déjà moult fois dénoncée ici (et je ne suis pas le seul, bien sûr), celle du "phishing" (entendez la "pêche" aux informations "sensibles" : logins, mots de passe, numéro de compte ou de carte de crédit).

Par exemple, ce mail prétendument reçu d'ebay :



où l'on m'indique qu'on "a lieu de croire qu'on a récemment tenté de s'approprier frauduleusement mon compte" (admirer l'humour, puisque c'est en fait ce que les arnaqueurs tentent précisément de réaliser) et que pour "enqueter en la matière" on "m'enjoint de vérifier mes coordonnées de compte" en "cliquant sur le lien ci-dessous". Lien apparemment normal...
(qui d'ailleurs ouvre en effet sur une APPARENCE de page d'ebay.
Sauf que l'adresse n'est pas la bonne.

Il suffit d'ouvrir son mail SYSTEMATIQUEMENT en mode texte (ce que permet par exemple Foxmail PAR DEFAUT) pour éventer la supercherie. Qu'y découvre-t-on en effet ? Que le lien pointant prétendument sur ebay renvoie tout à fait ailleurs :



(Du reste, un navigateur comme Opera permet également d'éventer le piège (décidément grossier) puisqu'il sait afficher les fausses adresses, quand IE (sauf patch, et encore) abuse ses utilisateurs.


Que faire lorsqu'on reçoit un tel mail ?
le faire suivre immédiatement au service fraude d'ebay (ou de paypal, puisque ce genre d'arnaque se fait également aux comptes paypal, ce qui est encore plus dangereux pour le porte-monnaie !)
à savoir: spoof@ebay.com, spoof@ebay.fr spoof@paypal.com

A savoir aussi : ebay ou paypal
* ne demandent JAMAIS par mail de se reconnecter sur leur site pour réintroduire ses identifiants
* quand ils vous écrivent pour gérer votre compte, c'est TOUJOURS dans la langue d'origine de votre inscription (ici, donc, le français).
* quand ils vous écrivent, c'est TOUJOURS via le site du pays où vous vous êtes inscrit (donc ebay.fr, ebay.be, ebay.de (pour la Suisse), etc.)
* quand ils vous écrivent, c'est toujours NOMMEMENT (pas de "cher client" ou de "dear ebay customer" mais "cher xxx" où xxx est le pseudo que vous avez choisi.
* enfin, le lien éventuel doit toujours renvoyer sur une adresse SECURISEE du site ebay ou paypal. La liste de ces adresses est diffusée sur le site d'ebay ou de paypal,
(voir la page :
http://pages.ebay.fr/help/confidence/isgw-account-theft-spoof.html
mais le plus souvent elle sera du type (pour ebay france) :
https://signin.ebay.fr/ pour accéder à la page de login ou du type :
http://cgi3.ebay.fr/...
https://scgi.ebay.fr/…
avec un httpS indiquant un serveur SECURISE dans le cas de pages de tractations en ligne.

22/01-2005 à 01:27Simple curiosité, est-ce que des MemoCliqueurs ont déjà reçu ce genre d'attrape gogo mais cette fois émanant prétendument de leur banque ou d'une société de crédit ?
Il semble pourtant que l'arnaque soit répandue, or je n'ai encore rencontré personne (en France) qui ait reçu ce genre de courrier envoyant sur un site bancaire bidonné.

22/01-2005 à 08:27super tes explications
perso tout le spam que je peux reçevoir, passe direct aux oubliettes.

----------
pourquoi tant de haine, de vil haine

25/01-2005 à 19:22Tiens, pour compléter...
encore reçu un faux mail d'ebay (directement renvoyé à <spoof@ebay.com> bien sûr.
Par curiosité, j'ai cliqué sur le "faux" lien, entré un pseudo et un mot de passe bidon (acceptés sans rechigner, bien sûr !) et je suis tombé sur cette fausse page m'invitant à entrer mes coordonnées bancaires. Un peu gros, non ?
Mais pourtant, certains s'y laissent prendre
http://163.27.1.94/up/eBayISAPIdllPlaceCCInfo.html

noter l'adresse IP 163.27.1.94 qui n'a bien sûr rien à voir avec ebay...

25/01-2005 à 19:51Un petit traçage d'ip

25/01-2005 à 21:21 tiens, une autre IP à dénoncer (ou simplement retracer) :
http://66.116.190.10/...

on peut voir si elle transite également via une université taiwanaise...

En revanche, ce lien pour (faussement) vérifier son compte paypal
http://wolfer-gmbh.de/.pp/
renvoyait le mois dernier sur une page hébergée "piratement" sur un véritable site...
http://wolfer-gmbh.de
une entreprise allemande de tuyautage tout à fait honorable...

Le pirate installe la page, collecte ses données, récupère le tout, puis efface la page et le répertoire du site piratés avant même que le webmestre ne s'en soit rendu compte...

26/01-2005 à 10:31bonjour

je suis la conversation et a peine j'ai cliqué dans le lien http://163.27.1.94/up/eBayISAPIdllPlaceCCInfo.html
mon antivirus a lancé sa popup. J'ai chopé jsb? Si apparemment tu n'as rien tant mieux. l'anti virus ne peux pas le supprimer !!! mais je l'ai repéré (capture du chemin et m'en vais le virer de suite) incroyable !!! le fichier infecté est la page du lien je suppose que j'aurais pas de problème...

27/01-2005 à 17:23

Si apparemment tu n'as rien tant mieux. l'anti virus ne peux pas le supprimer !!!

je viens encore de vérifier le code source de la page incriminée : elle est totalement anodine et ne contient absolument aucun danger.

27/01-2005 à 18:21"puisque tu insistes"

dès l'ouverture du lien, dans la page et instantanément


et encore instantanément

27/01-2005 à 19:16Si tu lis le message, ce n'est pas un virus, c'est un troyen qui éventuellement pourrait s'installer si l'on clique sur un lien dans un pop-up...
Il ne faut pas se fier aveuglément aux messages d'alerte des antivirus.
Une page html, si on n'active pas un javascript ou un code installé dessus n'est qu'un fichier texte comme un autre !
Mais bon, moi j'utilise opera et pas IE, donc les pop-ups, je ne connais pas...
Et par ailleurs, les antivirus mal configurés auront tendance à voir des virus, troyens, et autres sur des pages, je le répète, parfaitement anodines, qui se trouvent dans le répertoire temporaire de windows ou le cache internet...
(par exemple, voir les sempiternelles alertes virales de Norton ou PC-Cillin quand on relève son courrier, alors que si l'on ne clique pas sur un lien ou une pièce jointe, là aussi, il n'y a AUCUN RISQUE !

27/01-2005 à 19:34j'ai simplement cliqué dans le lien indiqué la page s'ouvre et instantanément l'antivirus s'est manifesté. je n'ai pas cliqué n'importe où donc et j'en ai eu deux dont jsbach je t'ai présenté là que le second.
pour moi ils sont tous dangereux.
ben je men suis bien tirée quand même. merci à securitoo.
à bientôt

28/01-2005 à 12:23Bjour à tous

<<Première condamnation en France pour escroquerie par "phishing"
-Un étudiant internaute avait détourné 20.000 euros en attirant ses victimes sur un faux site du Crédit lyonnais qu'il avait créé. Il a été condamné à 8.500 euros de dommages et intérêts et un an de prison avec sursis. >> ZD net

28/01-2005 à 12:31

Il a été condamné à 8.500 euros de dommages et intérêts et un an de prison avec sursis.

C'est pas cher payé.... [°)]

28/01-2005 à 12:42Salut

Peut-être, mais c'est une 1ère..... et à l'avenir.
Le + étonnant, c'est que le "phisher" qui habite Strasbourg, arnaquait en France !

28/01-2005 à 13:16

Le + étonnant, c'est que le "phisher" qui habite Strasbourg, arnaquait en France !

..On ne se méfie jamais assez des Alsacos..
....Si on me l'avait dit plutôt,je ne me serais pas marié avec une Alsacienne..

----------
"On ne devrait jamais quitter Montauban"..

28/01-2005 à 17:57

en attirant ses victimes sur un faux site du Crédit lyonnais qu'il avait créé

les "victimes" sont également à battre. Qu'on se laisse abuser par des renvois sur des sites écrits en anglais (ebay, paypal, bidpay, American Express), passe encore. Mais les banques françaises ont toutes des portails Internet parfaitement clairs et identifiables. Par ailleurs, lorsqu'on veut y procéder à des opérations bancaires "à risques" (virement sur un compte extérieur, achat de titres, par exemple), il faut impérativement souscrire un abonnement payant, et en général, cela ne se fait pas en ligne mais auprès de son agence...
Les seules tractations possibles en ligne sur une banque française sont celles a priori sans danger : consultation de compte, message au conseiller, demande de chéquier, impression de rib et virements sur comptes INTERNES (virement de compte à compte ou sur compte épargne, codevi, PEA, PEL, etc.) et encore, avec de sévères limitations sur les montants et les délais.

28/01-2005 à 18:43Singleton..
On ne se méfie jamais assez des Alsacos..
....Si on me l'avait dit plutôt,je ne me serais pas marié avec une Alsacienne..

j'ai une Picarde..............c'est "plus mieux"

----------
Jacky

30/01-2005 à 04:51Nouvelle petite leçon de phishing, cette fois, via un faux site paypal.

1. On reçoit un faux mail annonçant que votre compte paypal risque d'être suspendu
(en fait, le sujet du message annonce même carrément : "suspension du compte paypal"). Bigre !
2. Pour éviter cette suspension, on vous invite à cliquer sur le lien (ben tiens...) pour réintroduire votre pseudo et votre mot de passe...
3. Pour enfoncer le clou, vous recevez même plusieurs mails en rafale avec ce même message comminatoire...
4. Le(s) lien(s) ouvre(nt) sur une page... qui ressemble furieusement à celle de paypal, en effet...



Oui mais voilà... chaque lien est.... différent !
Et visiblement sans grand rapport avec le site paypal.com...

Qui plus est, un simple coup d'oeil sur la source des mails évente encore plus la supercherie :



Que voit-on : que l'adresse de renvoi n'est pas celle de paypal, même si le message fait semblant d'émaner de "service@paypal.com"... qui plus est le "nobody" de l'adresse de réponse diffère là aussi à chaque message !
Enfin, s'il fallait enfoncer le clou, l'adresse d'envoi ici johannis chez online, n'a JAMAIS été employée pour une inscription chez paypal !!! Là, ça devient un peu gros.

Et pourtant, le gogo moyen qui va ouvrir son courrier avec Outlook Express en mode html (en fait les 9/10e des utilisateurs, hélas). Que va-t-il voir ? Il va voir ceci :



Il va cliquer, tomber sur l'une des pages ci-dessus et...
introduire en toute innocence son pseudo et son mot de passe, cliquer...
et se retrouver sur la VRAIE PAGE du site paypal (qui lui confirmera, qui plus est, que ses identifiants sont corrects... (là, on peut dire que l'arnaque est bien faite, en effet, contrairement à l'arnaque à ebay, citée plus haut sur ce fil où l'on pouvait inscrire n'importe quoi. En revanche, dans l'arnaque à ebay, on récupérait en plus vos coordonnées bancaires et visa )
Entre-temps, bien entendu, le mal aura été fait : ses identifiants auront été interceptés par le site des pêcheurs en eaux troubles...

Rappelons donc, encore une fois, que l'adresse de login de paypal est (pour la France) :
https://www.paypal.com/fr/ (avec un https : site sécurisé !)
Un petit cadenas doit du reste apparaître sur une des barres de son navigateur :

Et lorsqu'on clique sur le cadenas (avec Opera, tout du moins), on a en prime l'indication du chiffrement et de l'algorithme utilisé) :


Enfin, une fois la connexion sécurisée établie, on doit voir apparaître dans sa fenêtre de navigateur une adresse du type :

https://www.paypal.com/fr/cgi-bin/webscr?cmd=_login-done&login_access=xxxx
(où xxxx est le numéro d'ouverture de session)

30/01-2005 à 04:59Et pour clore le sujet (s'il le fallait...), un ultime rappel :
paypal ou ebay :
* ne demandent JAMAIS par mail vos identifiants ou coordonnées bancaires
* vous écrivent TOUJOURS dans la langue où vous vous êtes inscrit (donc en français, pour le cas qui nous occupe)
* vous appellent par votre nom (ou votre pseudo) mais jamais d'un terme générique du style "cher client" ou "dear customer" ou "valued customer"
* vous écrivent à l'adresse que vous leur avez fournie lors de votre inscription !
* enfin, ne vous bombardent JAMAIS de messages : vous en recevez un seul en tout et pour tout !

30/01-2005 à 17:58Suite du feuilleton et poursuite de la leçon [°)] :

Cette fois, il s'agit d'une fausse arnaque ebay...
1. message habituel : on vous demande de mettre à jour vos coordonnées
(dans la foulée on vous demande vos mots de passe ebay ET paypal (tant qu'à faire, autant faire les choses en grand)...

2. Comme on le constate :
a) l'adresse Internet est fausse (rien à voir avec ebay...)
b) je me suis permis de répondre n'importe quoi...
3. Or, l'écran suivant :

M'indique que j'ai "réactivé avec succès mon compte ebay"
Mazette !
Et que (c'est là l'astuce, bien sûr), on va "dans quelques secondes me rediriger sur mon compte).
4. Mais là, bien sûr, comme j'ai pris soin de NE PAS mettre mes vrais identifiants, je reçois un VRAI message d'erreur du VRAI compte ebay...
(qui précise bien de vérifier que l'adresse commence par "https://signin.ebay.com/"
ce qui est cette fois le cas puisqu'on est bel et bien revenu sur ebay)


La supercherie est bien démasquée !
Mais que serait-il advenu si j'avais indiqué mes VRAIS identifiants...
J'aurais été rebasculé en douceur sur le vrai site ebay (cette fois sans message d'erreur...), sans me rendre compte de rien, et dans l'intervalle, bien entendu, j'aurais donné mes identifiants à un faussaire.