Se protéger du phishing

Cette page récapitule quelques recettes à suivre afin reconnaître ces arnaques.

Phishing

Pour ne pas tomber dans ces arnaques, il faut bien comprendre le principe.
Le procédé utilisé n’est JAMAIS utilisé par les vrais sociétés, à savoir vous réclamer de refournir des informations qu’ils ont déjà, par mail/sur internet.
Vos informations bancaires et mots de passe ne sont jamais à donner, sauf dans deux cas :

  • Lors de l’inscription sur un site
  • Lors de l’identification sur un site sur lequel vous souhaitez effectuer des opérations (achats, visualiser ses achats etc).

En cas de doute, ne remplissez pas le formulaire et contactez par vous même la société en question.
Mais si vous avez bien compris le principe du phishing, vous ne devriez pas avoir de doute 😉
La suite de cet article est alors superflus

Il est ensuite possible de reconnaître les mails Phishing.
Si la campagne provient d’étrangers, ces derniers utilisent des traducteurs automatiques, la syntaxe est alors très mauvaise (c’est par exemple, le cas sur les ransomwares Fake Police).
Néanmoins, cela s’améliore dans le temps et ces derniers sont de mieux en mieux réalisés.

Une autre vérification consiste à regarder les adresses emails et adresses WEB utilisées.
Si vous jetez un oeil à la capture d’écran du Phishing EDF – vous verrez que le mail qui a été utilisé pour l’envoyer est une adresse en @frongartonslave.com et que le lien du formulaire conduit à une adresse http://frongartonslave.com/ss

Ceci n’a strictement rien à voir avec les adresses du site d’EDF : www.edf.fr (donc les mails en @edf.fr)

phishing_EDF

Bien entendu, les fraudeurs vont tenter de palier à cela en cause les mots dans les adresses, ci-dessous l’adresse est relativement bien faite pour tenter de vous tromper :

Phishing_SFRUne adresse fr-service-neufbox.com alors que le site est http://www.neufbox.com soit donc comme potentiels sous domaine : service-client.neuf.com
Les sous-domaine étant de la forme : sous-domaine.domaine.tld – fr-service-neufbox.com est donc un domaine qui a été enregistré par les fraudeurs.

Pour les pros…

Pour les pros, vous pouvez aussi jeter un oeil à l’en-tête du mail afin de déterminer l’IP de l’envoyeur (ça peux être utile parfois).
L’accès à l’en-tête du mail dépend du client mail ou webmail utilisé (souvent un clic droit / source du message ou en-tête).

Jetons un coup d’oeil à l’en-tête du mail du Phishing EDF, on obtient ceci :

Phishing_EDF_entete

soit donc :

From – Thu Jul 19 08:24:50 2012
X-Account-Key: account6
X-UIDL: 1084435376.14881
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <bleuedf@frongartonslave.com>
Received: from mwinf5c57 (mwinf5c57.me-wanadoo.net [10.223.111.107])
by mwinb1q05 with LMTPA;
Thu, 19 Jul 2012 08:14:20 +0200
X-Sieve: CMU Sieve 2.3
Received: from x0s ([109.230.213.4])
by mwinf5c57 with ME
id c6EK1j00X06FbH1016EKP7; Thu, 19 Jul 2012 08:14:20 +0200
X-bcc: spamhere-@wanadoo.fr
X-ME-bounce-domain: wanadoo.fr
X-ME-engine: default
X-me-spamrating: 40.00
X-me-spamcause: (0)(0000)gggruggvucftvghtrhhoucdtuddrfeegkedrkedtgdefgecutefuodetggcurfhrohhfihhlvgemucfogfenuceurghilhhouhhtmecugedttdenucenucfhrhhomhepfdfhohhrmhhulhgrihhrvgdfuceosghlvghuvggufhesfhhrohhnghgrrhhtohhnshhlrghvvgdrtghomheqnecuffhomhgrihhnpehfrhhonhhgrghrthhonhhslhgrvhgvrdgtohhmnecujfgurhephffuvfgtggffsehrtddtredttddu
X-me-spamlevel: not-spam
X-ME-Entity: ofr
Message-ID: <36bae30abb0863b150fc086dbf1d2aa1@mwinf5c57.me-wanadoo.net>
From: « Formulaire » <bleuedf@frongartonslave.com>
Subject: =?iso-8859-1?B?UHLpbGV2ZW1lbnQgYmFuY2FpcmUgZXN0IGluYWN0aWZz?=
To: « spamhere- » <spamhere-@wanadoo.fr>
Content-Type: multipart/related; boundary= »Cq=_ICq5f5TkwnDSWDPLWiwc0RC8IEzm2i »
MIME-Version: 1.0
Date: Wed, 18 Jul 2012 23:13:59 -0700

Attention, les en-tête des mails se lisent de bas en haut en ce qui concerne le transit du mail, souvent cela donne :
SMTP de votre fournisseur d’accès
SMTP éventuellement intermédiaire (dans le cas d’un mail frauduleux un SMTP openrelay ou pas de SMTP du tout)
IP de l’envoyeur

ce qui donne :

Return-Path: <bleuedf@frongartonslave.com>
Received: from mwinf5c57 (mwinf5c57.me-wanadoo.net [10.223.111.107])
by mwinb1q05 with LMTPA;
Thu, 19 Jul 2012 08:14:20 +0200
X-Sieve: CMU Sieve 2.3
Received: from x0s ([109.230.213.4])

L’IP qui a émis le mail avec le nom de la machine x0s est 109.230.213.4 – c’est une machine infectée en Allemagne.

Vous pouvez utiliser le site http://network-tools.com/ pour effectuer un whois sur l’adresse IP est obtenir des informations.
Ce site peux aussi être utilisé pour l’adresse utilisée dans le phishing SFR, si l’on fait un whois sur le domaine : fr-service-neufbox.com (69.65.10.202) – on constate que l’on obtient un peu n’importe quoi (notez la date récente):

Domain Name: FR-SERVICE-NEUFBOX.COM
Registrar: ENOM, INC.
Whois Server: whois.enom.com
Referral URL: http://www.enom.com
Name Server: NS1.WEBHOSTINGPAD.COM
Name Server: NS2.WEBHOSTINGPAD.COM
Status: clientTransferProhibited
Updated Date: 11-aug-2012
Creation Date: 11-aug-2012
Expiration Date: 11-aug-2013Registrant Contact:
Whois Privacy Protection Service, Inc.
Whois Agent ()

Fax:
PMB 368, 14150 NE 20th St – F1
C/O fr-service-neufbox.com
Bellevue, WA 98007
US

et que l’adresse iP 69.65.10.202 est aux Etats-Unis
Je vous laisse comparer avec un whois sur le domaine neuf.com

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *