Les attaques visant les clients d'Orange sont légion : Les attaques sont quasi quotidiennes et se renouvèlent sans cesse. Si je reprends ma plume sur le sujet c'est que j'ai pu constater que celles-ci s'améliorent sans cesse : Nous sommes passés de messages à l'orthographe ou à la grammaire très approximative à des attaques de qualité pleinement professionnelles.
C'est le cas de l'attaque qui a été portée à mon attention ce Lundi 19 Octobre 2009.
Comme d'habitude, tout commence par un mail qui arrive dans la boite de réception d'une personne possédant une adresse email en @orange.fr.
Le mail de phishing est assez classique. Il reste simple et clair. Il n'est pas truffé de fautes d'orthographes ni d'erreurs typographiques : A la lecture d'un tel message, il y a fort à parier que nombre de personnes vont faire le pas et cliquer sur le client indiqué. Bien évidemment, le lien donné est un leurre : On ne retrouve pas sur un site dont l'url commence par http://verification.orange.fr/... mais quelque chose de bien différent. dans le cas présent on arrive sur un site hébergé derrière un nom de domaine qui n'a rien à voir hormis qu'il se termine en ".fr".
C'est le cas de l'attaque qui a été portée à mon attention ce Lundi 19 Octobre 2009.
Comme d'habitude, tout commence par un mail qui arrive dans la boite de réception d'une personne possédant une adresse email en @orange.fr.
Le mail de phishing est assez classique. Il reste simple et clair. Il n'est pas truffé de fautes d'orthographes ni d'erreurs typographiques : A la lecture d'un tel message, il y a fort à parier que nombre de personnes vont faire le pas et cliquer sur le client indiqué. Bien évidemment, le lien donné est un leurre : On ne retrouve pas sur un site dont l'url commence par http://verification.orange.fr/... mais quelque chose de bien différent. dans le cas présent on arrive sur un site hébergé derrière un nom de domaine qui n'a rien à voir hormis qu'il se termine en ".fr".
Le site de phishing est d'un réalisme et d'une finition exemplaire : La charte graphique est impeccablement respectée, les images sont celles d'origine, aucune faute d'orthographe, tout est prêt pour que l'utilisateur soit en confiance. Il y a même l'animation Flash "La photo mystère" pour un "polish final" impeccable.
L'attaquant est plutôt gourmand en terme d'informations personnelles : Nom, prénom, adresse, numéro de téléphone, date de naissance, email et mot de passe associé, numéro et type de carte bancaire, date d'expiration et cryptogramme de celle-ci. Le formulaire est si grand qu'un seul et unique screenshot n'a pas suffit : Je vous le livre donc en deux parties.
On pourra noter la mention "débit à l'expédition de la commande" et les informations sur la technologie de cryptage SSL : Tout est fait pour rassurer l'utilisateur.
Le piège est redoutable: Hormis le fait que l'attaquant est peut-être un peu trop gourmand en informations, de nombreuses personnes vont tomber dans le panneau et livrer leurs informations personnelles sans se douter du danger.
Recommandations
Si il advenait que vous soyez (ou l'un de vos proches ou collègue) tombé dans le panneau, réagissez rapidement :
1) Contacter votre banque et faites opposition afin de vous protéger contre l'utilisation frauduleuse de votre carte bancaire
2) Changez vos identifiants de connexion ou contactez le support technique Orange pour changer votre mot de passe.
3) Déposez plainte auprès des forces de l'ordre.
Cette analyse n'est pas finie : J'ai poussé les investigations un peu plus loin et j'ai découvert d'autres choses fort intéressantes qui nous en disent plus long sur le niveau de professionnalisme des personnes qui sont derrière ces attaques. Mais ce sera pour un prochain bulletin !
L'attaquant est plutôt gourmand en terme d'informations personnelles : Nom, prénom, adresse, numéro de téléphone, date de naissance, email et mot de passe associé, numéro et type de carte bancaire, date d'expiration et cryptogramme de celle-ci. Le formulaire est si grand qu'un seul et unique screenshot n'a pas suffit : Je vous le livre donc en deux parties.
On pourra noter la mention "débit à l'expédition de la commande" et les informations sur la technologie de cryptage SSL : Tout est fait pour rassurer l'utilisateur.Le piège est redoutable: Hormis le fait que l'attaquant est peut-être un peu trop gourmand en informations, de nombreuses personnes vont tomber dans le panneau et livrer leurs informations personnelles sans se douter du danger.
Recommandations
Si il advenait que vous soyez (ou l'un de vos proches ou collègue) tombé dans le panneau, réagissez rapidement :
1) Contacter votre banque et faites opposition afin de vous protéger contre l'utilisation frauduleuse de votre carte bancaire
2) Changez vos identifiants de connexion ou contactez le support technique Orange pour changer votre mot de passe.
3) Déposez plainte auprès des forces de l'ordre.
Cette analyse n'est pas finie : J'ai poussé les investigations un peu plus loin et j'ai découvert d'autres choses fort intéressantes qui nous en disent plus long sur le niveau de professionnalisme des personnes qui sont derrière ces attaques. Mais ce sera pour un prochain bulletin !
Effectivement les attaques par filoutage commence à devenir très dangereuse.
En voici une qui vaut son pesant d'or :
http://ed.x-space.net/phishing.png
http://ed.x-space.net/phishing-bottom.png
Charte graphique parfait, pas de fautes d'orthographe, contenu cohérent.
Seul bévu le titre et l'expéditeur : Enews relation client - pour vous, des solutions qui facilitent votre quotidien
Je ne suis pas convaincu que ce soit une attaque de phishing. Cela ressemble plus à un mail de prospection commerciale/publicité.
En effet, aucune action ni info personnelle n'est visiblement demandée à l'utilisateur.
Pour ce qui est de l'expéditeur pjms.fr, cela correspond au service de prospection marketing des PagesJaunes (http://www.pagesjaunes-marketingservices.com/).
Reste à confirmer/infirmer cela au vu des liens présents dans le message : Avec un screenshot c'est difficile d'aller plus loin.
Slts,
JF.
Effectivement, les liens présents *.pjms.fr et *.wd-server.net sont, en recherchant dans les bases de données whois, liés à des services de marketing en ligne.
J'ai tendance à "surréargir" quand je reçois mail étiqueté SocietéX ne contenant aucun lien vers *.SocietéX .tld dans son contenu.
Les services de prospections par email devraient faire attention...
D'autant plus que dans ce cas, l'expéditeur ("Enews relation client") n'est clairement pas indiqué correctement.
Je suis en phase : Dans ce genre de situation, il vaut mieux être trop méfiant que pas assez :-) Sans un système de vérification de l'identité de l'émetteur la question se pose. Des choses cependant intéressantes coté DKIM par exemple (Authentification des emails : De SPF à DKIM en passant par SenderID, 16 Septembre 2009)
En réponse à l'article " Attaque de phishing : la barre est haute " :
Vous écrivez, entre autre " ... aucune faute d'orthographe...".
En réalité des erreurs élémentaires sautent aux yeux qu'il est
impensable qu'Orange ait pu commettre :
- manque d'accents aigus ( credit, reserves, verification) ou grave (a)
- faute de français : obligeance pour obligation
- omission de mot : ... ainsi que ( celle) de votre... ...suite (à) la vérification
- de ponctuation signe "=" non justifié.
Tant de fautes pour un texte si court !
Personnellement je n'ai JAMAIS lu un texte de " scam" SANS fautes
grossières.
A ces petits escrocs, les subtilités de l'informatique doivent être plus familières que celles de la langue française !
Merci pour ce feedback : Je suis en phase avec vous sur ces détails qui sauteront aux yeux des personnes les plus attentives. Malheureusement, j'aurai tendance à dire que de (trop) nombreuses personnes ne les relèveront pas... Encore merci de votre retour et bonne semaine. Cordialement.
JF.