Phishing sur Crédit Lyonnais

27/01-2006 à 17:45(encore une fois, me direz-vous...)
La tentative a été apparemment si importante que le LCL a décidé de changer de serveur, donc, depuis ce 27/1, nouvelle adresse pour consulter vos comptes ou effectuer vos opérations : https://particuliers.secure.LCL.fr

Détection d'une tentative de fraude visant les clients LCL.

Elle prend la forme d'un mail envoyé en masse aux abonnés de certains fournisseurs d'accès Internet.
Le message frauduleux prend prétexte de la mise en place d'un nouveau système de protection des clients pour renforcer leur sécurité.
L'internaute est invité à cliquer sur des liens pour se connecter au site de la banque et à écrire à une adresse pour donner son avis.

Il est important de rappeler les principes suivants :
LCL n'envoie jamais de mail demandant de cliquer sur un lien pour saisir des données d'identification aux services de gestion de comptes
A réception de tels messages, il convient simplement de les détruire sans aucune autre action (même un simple clic sur un lien contenu dans un message frauduleux peut confirmer au pirate l'exactitude de l'adresse de courrier électronique du destinataire)
Les sites de gestion de comptes sont accessibles pour les :
Particuliers (LCL interactif) depuis https://particuliers.secure.LCL.fr
Professionnels (LCL Access) depuis https://professionnels.secure.LCL.fr
Entreprises depuis https://clentreprises.com

www.LCL.fr rubrique ACCES CLIENT permet aussi de se connecter à chacun de ces sites sans avoir à saisir leur adresse complète.

Pour retrouver tous les conseils de sécurité sur Internet, cliquez-ici :https://particuliers.lcl.fr/securite/index.html

Fac-similé du message FRAUDULEUX :
"Le test du nouveau systeme de securite. Notre devise: Banking sans fraude.

Compte tenu d'accidents tres frequents provoques par des activites frauduleuses sur Internet, notre banque a introduit le nouveau systeme de securite de nos clients. Conformement a celui-la chaque mois vous serez le destinataire d'une lettre confirmante vos donnee secretes. Nous esperons votre comprehension a l'egard de cet innovation. Les mesures entreprises nous permettront de reduire les risques d'acces non sanctionne de tierces personnes a votre compte personnel, ainsi que controler l'activite de votre compte en comparant l'adresse IP et version de votre navigateur de votre session presente et celle precedente. A l'avis de l'organisation mondiale bancaire ces mesures permettront de diminuer au maximum les voles d'argent des clients.

Log in: lecreditlyonnais
Si vous n'etes pas d'accord ou mecontent de cet innovation veuillez nous ecrire a lecreditlyonnais@banksecurity.fr
votre opinion sera prise en compte."

Source :
https://particuliers.lcl.fr/CLI/phishing012006.htm

27/01-2006 à 18:03un complement d'info
http://www.generation-nt.com/analyses/11434/banques-en-ligne

28/01-2006 à 02:29Sauf que, franchement, je ne vois pas le rapport entre la fraude bancaire et le fait ou non d'avoir un antivirus à jour...

Toujours la sempiternelle réponse à côté de la plaque que véhiculent même les sites censés être informés (génération-net, par exemple).

Les attaques par phishing n'ont RIEN A VOIR avec les virus (ou les antivirus, à jour ou pas...)
Plus généralement, un antivirus ne protège pas de grand-chose. Il donne au contraire une fausse impression de sécurité à la majorité des utilisateurs qui de toute manière, soit ne savent pas s'en servir, soit s'en servent mal, soit - et c'est sans doute là le pire - se prévalent de la présence d'un antivirus sur leur machine pour se croire autorisés à faire tout et surtout n'importe quoi...

Les seuls gagnants dans l'affaire sont les éditeurs d'antivirus...

28/01-2006 à 09:30Bonjour,
une solution gratuite :
http://toolbar.netcraft.com/

Quelques explications pour ceux (très peu nombreux) qui ne comprennent pas l'anglais :
http://fr.wikipedia.org/wiki/Netcraft

Modifie par Modifié par aquali le 28/01/20

----------

http://aquali.blogspot.com/

28/01-2006 à 12:42Outre le fait que netcraft n'est compatible qu'avec IE, il se base sur les données fournies quotidiennement par les utilisateurs... donc fiabilité et réactivité moyennes.
Je persiste et signe : mieux vaut se servir de ses neurones, voir éventuellement la source d'un mail (que l'on n'ouvrira dans son courielleur QU'EN MODE TEXTE) et, à priori NE JAMAIS répondre à un mail demandant des identifiants ou de se rendre sur un site pour compléter des données personnelles. AUCUNE BANQUE, AUCUN SERVICE de paiement en ligne (ebay, bidpay, paypal, etc.) ne fait ce genre de demande.
Ce n'est pas compliqué à comprendre mais apparemment, nombre d'utilisateurs d'internet qui par ailleurs sont méfiants comme des poux dans la vie réelle perdent tout sens commun une fois connectés. C'est dommage, surtout pour eux, bien sûr.

28/01-2006 à 13:09

Outre le fait que netcraft n'est compatible qu'avec IE

Pas du tout.
Mets tes lunette, Johannis !

http://telechargement.zebulon.fr/215-netcraft-toolbar-pour-firefox.html

se servir de ses neurones

c'est évident. Mais combien s'en servent ? Pourquoi crois-tu qu'il y ait tant de gogos tombant dans le piège ?
L'emploi des neurones relève du voeu pieux

Modifie par Modifié par aquali le 28/01/20

----------

http://aquali.blogspot.com/

28/01-2006 à 17:34

Outre le fait que netcraft n'est compatible qu'avec IE


Pas du tout.

Désolé, je me suis fié au lien direct que tu donnais...

02/02-2006 à 00:22Décidément, la cabane est sur le chien au Crédit Lyonnais :
hier et aujourd'hui, impossible d'accéder au site en ligne...
Explication : nouvelle tentative de phishing, inspirée de la précédente...
(un comble!)
"1er février 2006 : Détection d'une nouvelle tentative de fraude visant les clients LCL.

Elle prend la forme d'un mail envoyé en masse aux abonnés de certains fournisseurs d'accès Internet.
Le message FRAUDULEUX aux couleurs de la banque, prétexte la précédente tentative de phishing pour demander aux internautes de fournir leurs codes d'accès et date de naissance.
L'internaute est invité à cliquer sur des liens pour se connecter au site de la banque et à écrire à une adresse pour donner son avis.

Pour vous prémunir de telles arnaques, il est important de rappeler les principes suivants :
LCL n'envoie jamais de mail demandant de cliquer sur un lien pour saisir des données d'identification aux services de gestion de comptes
A réception de tels messages, il convient simplement de les détruire sans aucune autre action (même un simple clic sur un lien contenu dans un message frauduleux peut confirmer au pirate l'exactitude de l'adresse de courrier électronique du destinataire)
Les sites de gestion de comptes sont accessibles pour les :
Particuliers (LCL interactif) depuis <https://particuliers.secure.LCL.fr<
Professionnels (LCL Access) depuis https://professionnels.secure.LCL.fr
Entreprises depuis https://clentreprises.com

http://www.LCL.fr rubrique ACCES CLIENT permet aussi de se connecter à chacun de ces sites sans avoir à saisir leur adresse complète.

Si vous avez communiqué des données sur le faux site, contactez votre conseiller.



Le plus navrant (comme dans les diverses affaires de piratage, finalement), c'est qu'à cause de quelques béberts, mimiles et neuneus racornis du neurone qui cliquent sur tout et n'importe quoi, ne lisent même pas en détail les mails qu'on leur envoie, répondent à tort et à travers ou confient les clés (virtuelles) de leur coffre au premier venu, les usagers normaux (mais y en a-t-il encore ? On va finir par en douter) se retrouvent lésés, dans l'impossibilité d'accéder à leur compte ou de faire des transactions normales. Je vois gros comme une maison se profiler le jour où (toujours à cause des mimiles, béberts et neuneus susnommés), les banques vont nous faire payer le prix fort l'accès à nos comptes sous prétexte de mesures de sécurité renforcées...

03/02-2006 à 12:27Salut Johannis. Il y a dans toutes ces tentatives de fraude un détail qui m'échappe (en fait il y a des millions de détails qui m'échappent sur tout ce qui touche aux réseaux)... Comment ce fait-il qu'on ne peut pas remonter aussi vite à l'émetteur de ces messages qu'on ne sait le faire par exemple avec le téléphone ??? Que deviennent IP adresse, Mac adresse etc...?
On sait pourtant bien retrouver les dangereux criminels qui téléchargent de la musique, n'est-il pas ???

----------
"Ceux qui disent que la micro c'est compliqué, n'ont pas tout compris.
C'est très compliqué..." Y.S.

03/02-2006 à 14:20Il est enfantin de masquer son IP, de passer par des proxys successifs, de faire envoyer des courriels vérolés par publipostage via des ordinateurs zombies (ça, c'est le plus facile : il suffit de tomber sur un utilisateur moyen de IE et OE sous winXP, qui ne sait pas se servir d'un pare-feu, soit l'écrasante majorité de la planète...).

Et comme d'autre part, les dangereux criminels qui téléchargent de la musique font partie de cette écrasante majorité de naïfs qui ne savent pas se servir de leur ordi (ou n'ont rien compris au b-a, ba de la sécurité), il est facile de les retrouver, eux.


Pour en revenir au problème du Crédit Lyonnais, il faut dire que la banque s'y est fort mal prise : sa première page d'avertissement était si confuse que sans doute bien des utilisateurs ont pris le fac-similé du message frauduleux pour un VRAI message du Lyonnais et se sont donc conformés aux instructions (fallacieuses) qui y étaient indiquées.
Comme, qui plus est, le message était en mode texte, impossible de le différencier de la partie "légitime" de la page.
Les faussaires voyaient donc un boulevard s'ouvrir devant eux, ils n'ont eu qu'à s'engouffrer dans la brèche et continuer à se faire passer pour le Lyonnais en en remettant une couche avec leur second message.
Un vrai cas d'école.
Noter, du reste, l'humour dudit second message (reproduit, cette fois en mode "image", donc sans aucune possibilité de lien cliquable, heureusement, dans la deuxième page web d'alerte de LCL), qui précise : "rappelez-vous que votre banque ne vous demande jamais d'envoyer d'informations sur votre carte bancaire"... après avoir demandé, trois lignes au-dessus de "saisir toutes les données nécessaires".

07/03-2006 à 23:31Bis repetita :
nouvelle tentative de pêche à la ligne des clients du LCL, avec un mail qui prend cette tournure :

"Le test du nouveau système de sécurité.
Notre devise: Banking sans fraude.
Compte tenu d'accidents très fréquents provoques par des activités frauduleuses sur Internet, notre banque a introduit le nouveau système de sécurité de nos clients. Conformément a celui-la chaque mois vous serez le destinataire d'une lettre confirmante vos données secrètes. Nous espérons votre compréhension a l'égard de cet innovation. Les mesures entreprises nous permettront de réduire les risques d'accès non sanctionne de tierces personnes a votre compte personnel, ainsi que contrôler l'activité de votre compte en comparant l'adresse IP et version de votre navigateur de votre session présente et celle précédente. A l'avis de l'organisation mondiale bancaire ces mesures permettront de diminuer au maximum les voles d'argent des clients."

Admirer la prose charabiesque... même pas fichus d'engager des pirates qui causent couramment la France...
Bon, d'accord, les pirates sont chez Comcast aux Etats-Unis, mais enfin, trouver quelqu'un capable d'écrire un message lisible en clair, ça n'est pas bien sorcier... mais d'un autre côté, il est vrai, combien de clients du Lyonnais sont-ils capables de déceler le premier indice évident de l'arnaque, à savoir que le message n'est même pas rédigé en français correct...

08/03-2006 à 09:33Hé oui, l'orthographe !
Bien utile, tout de même ! [°)] ...pour éviter les "voles"

----------

http://aquali.blogspot.com/

21/03-2006 à 19:32Bonsoir,

J'ai eue le droit au pishing du Cl, j'ai supprimé direct

----------
Guillemette
Modératrice de http://www.transurb.net/ + de http://www.memoclic.com/
sites sympas : http://cheznous.mesdiscussions.net
http://meskesrv.net/forum/index.php

22/03-2006 à 15:05Salut,

Sur Clubic, ils en parlent :
http://www.clubic.com/actualite-33049-la-semaine-du-phishing-apres-bnp-lcl-et-la-sg.html

----------
Guillemette
Modératrice de http://www.transurb.net/ + de http://www.memoclic.com/
sites sympas : http://cheznous.mesdiscussions.net
http://meskesrv.net/forum/index.php

01/04-2006 à 07:36Ce n'est pas sur LCL, mais sur la Chase Bank, mais là, variante rigolote :

Nouvelle version reçue ce matin d'un spam bancaire :


chase ou ebay ?

jusque là, rien que de très normal.
Sauf que les pêcheurs à la ligne, ont mis une boulette sur leur hameçon :
regarder l'en-tête de l'onglet (ou le titre de la page du navigateur internet) :
"Ebay unpaid item reminder"...
eh oui, léger méli-mémo. Le libellé du message
réclame une mise à jour d'identifiants bancaires, le titre de la page, lui,
rappelle qu'un client d'ebay vous "réclame le paiement d'un article"...
:-)
Bref, comment s'emmêler les lignes quand on va à la pêche.

Comme d'hab, le message reçu en mode TEXTE avec foxmail, ne laisse planer aucun doute :
il suffit de lire l'adresse de connexion à cliquer pour être édifié :

* Log on to Chase Online :

http://rds.yahoo.com/_ylt=A0LaSV66fNtDg.kAUoJXNyoA; _ylu=X3oDMTE2ZHVuZ3E3BGNvbG8DdwRsA1dTMQRwb3MDMwRzZWMDc3IEdnRpZANGNjU1Xzc 1/SIG=148vsd1jp/EXP=1138544186/**http%3a//tourdion.dk/~tourdion.dk/.run/.jpmrgan/index.php? WduaW5fcGFnZUx=aW5kZXgucGhwP3Byb3NwZWN0X25mcGI9dHJ1ZXBvcnRsZXRfc2lnbmluXzFfY WN0aW9uT3ZlcnJpZGVGY2hhc2VvbmxpbmVGc2lnbmluRnZlcmlm

Once you log on, you can see your new message and Update Profile in the Secure Update Center.

05/04-2006 à 11:16Relevé sur zataz, cette liste d'adresses bancaires bidon, sans doute prévues pour de nouvelles attaques fishing de grande envergure

http://www.bbnpparibas.net
http://www.bnpparibasbank.com
http://www.bnpparibasbanksafe.com
http://www.bnpparibasbnl.com
http://www.bnpparibasevents.com
...

http://www.creditlyonnaise.com
http://www.creditlyonnaisfr.com
http://www.creditlyonnaissa.com
http://www.creditlyonnaisinteractif.com
http://www.wwwcreditlyonnais.com

...
http://www.societegeneralebankplcng.com
http://www.societegenerales.com
http://www.jeunesocietegenerale.com

...

http://www.creditmutuelebank.com
http://www.creditmutuelebanksn.com
http://www.creditmutuelfr.com
http://www.creditmutuellefrance.com
...

http://www.alaposte.net
http://www.annuaire-laposte.com
http://www.annuairedelaposte.com
...

http://www.chiedievinci-cofidis.com
http://ferias.cofidisonline.com
http://www.creditoscofidis.com
http://www.giordanovini-cofidis.com
http://www.wwwcofidis.com
...

http://www.creditagricoleeab.com
http://www.creditagricolefund.com
http://www.creditagricolefunds.com
http://www.creditagricoleluxemburg.com

...

http://cortale.com
http://www.cortale.net
http://www.cortale.org

comme on le voit, toutes les grandes banques françaises sont visées. Prudence !

source :
http://www.zataz.com/news/10925/.html