Phishing Orange : Attention "Mise en Grade !"

par Jean-François Audenard
La vie continue, les attaques de phishing aussi. Comme tous les acteurs de l'Internet, Orange est la cible d'attaques de plus en plus fréquentes. Quels sont les ressorts et mécanismes mis en oeuvre dans une attaque de phishing ? Quels signes peuvent aider à détecter un mail visant à dérober des informations personnelles ?

Pour le moment, les clients "grand public" sont particulièrement sollicités pour livrer leurs informations personnelles, les clients entreprise étant (pour le moment du moins) assez épargnés par ce fléau.

Les "ressorts" du phishing sont bien connus :
  1. Un mail (spam) usurpant l'identité d'Orange arrive dans la Inbox
  2. Celui "fait peur" en invoquant une intrusion, une perte de données, ou autre catastroph
  3. On rassure l'utilisateur en lui indiquant ce qu'il doit faire remettre les choses en ordre
  4. La note finale remet "une couche de terreur" pour que les actions soient prises rapidement. Si on tarde, "ça explose".
  5. Le tout est enrobé/finalisé par un lien pointant vers un site Internet factice.

Quelques signes pour détecter les attaques de phishing

  • Rarissimes sont les opérateurs ou services 'online' qui utilisent le mail pour ce type de raison. Dès cette étape le "mode méfiance" doit être activé !
  • Si "c'est grave", "ça fait peur"ou "y'a eu un gros problème" : C'est bidonné.
  • Si une "sanction" tombe (coupure d'un service, désactivation d'un accès) si on se bouge pas : C'est bidonné.
  • Si "il faut agir vite" ou "après 2 heures il sera trop tard" : C'est bidonné. Ici, on met l'urgence en avant dans le but de désactiver/inhiber les fonctions logiques et inciter à l'action.
  • Et bien sur le lien vers la page de phishing : Très proche du message incitant à une action rapide et donc inconsidérée.
  • Les fautes d'orthographe sont légion dans les mails de phishing : C'est un bon moyen de détecter que quelque chose cloche. Ceci dit : Les attaquants se professionnalisent donc la qualité orthographique et grammaticale aussi ; et puis combien de personnes ont des difficultés avec la langue française et la généralisation des dialectes SMS et autres boro?

Un petit screenshot d'un mail de phishing récemment reçu par l'un nos clients :
Phishing-Orange_Sept2009.jpg

Sur le périmètre des activités d'Orange Business Services, les éventuels messages importants sont uniquement communiqués vers nos clients par le biais de leur "espace clients" accessible après authentification préalable.

publié le 30/09/2009

auteur : Jean-François Audenard (voir la biographie)
Au sein d'Orange Business Services, je suis en charge d'intégrer la sécurité au cœur de nos offres et services de cloud computing. Je suis un passionné et ne considère les choses que de façon entière et engagée : Pas de mi-figue/mi-raisin avec moi. Bloggeur engagé et engageant, j'aime aller au delà des chantiers battus et faire "bouger les codes". La franchise est ma "touche" et l'optimisme et le volontarisme mes deux moteurs.
Voir la fiche de Jean-François Audenard sur [En] Orange Business Live »
tags : ,,,
commentaires : 3
trackbacks : 0

3 Commentaires

Jeremy | 30 septembre 2009 17h42 | répondre

Je me permets de réagir à ce sujet car j'ai reçu un mail d'OBS contenant tous les signes d'un phishing (problème grave, date limite, sanctions, des liens, mais pas de fautes d'orthographe) concernant un problème de SPAM... (image:http://1.bp.blogspot.com/_sxflePT-mmo/SsNoBhWFnKI/AAAAAAAAAGQ/xWdA0-iP6Ps/s1600-h/30-09-2009+16-10-08.png)

Si ce n'est pas un faux mail (...), je crains qu'OBS passe bien par se biais pour communiquer des informations importantes.

Franck Martin | 1 octobre 2009 12h01 | répondre

Ne faut-il pas valider les emails avec DKIM?

Audenard Jean-François en réponse au commentaire de Jeremy | 9 octobre 2009 13h50 | répondre

Bonjour Jeremy. Merci pour le feedback. Je vous confirme que ce message n'est pas un phishing mais un mail en provenance de notre cellule Abuse.
Ce type de mail n'est envoyé qu'après 2 appels téléphoniques préalables pour lesquels aucune réponse n'a été reçue. En cas de doute, il reste possible de contacter la cellule abuse ou encore votre support client habituel.
Au contraire des mails de phishing, il n'est pas indiqué "connectez-vous ici pour faire ceci ou cela".
Ceci dit, je transmet votre remarque à qui de droit afin que l'on s'assure que tous les moyens sont mis en place pour minimiser l'éventualité d'une attaque de phishing à l'encontre de nos clients.
JF

commenter

 
(Utilisez des balises HTML pour mettre en forme vos commentaires)