Reconnaître les tentatives de"phishing" ou "hameçonnage"

Le net est une jungle. Comme dans le monde réel, on rencontre parfois des escrocs qui tentent de vous arnaquer avec des moyens plus ou moins subtils. Ces pratiques vont malheureusement tendrent à se multiplier avec l'augmentation du nombre d'internautes. Voici quelques tentatives de tromperie nommée "phishing" ou"hameçonnage" qui sont relativement reconnaissables avec un peu d'attention et d'habitude...

Je ne sors jamais sans mon couteau suisse...

Les menaces de phishing

Le"phishing", c'est quoi ?

Phishing se reproche donc du terme fishing, "pêcher" en anglais, et serait issu du jargon des pirates qui, il y a quelques années, essayaient de prendre possession de comptes AOL par la plus simple des solutions ; récupérer de manière détournée les vrais identifiants et mots passe pour y accéder. Le pirate se faisait passer pour un membre de l'équipe technique d'AOL et envoyait un message instantané à une victime potentielle. Ce message demandait à la victime d'indiquer son mot de passe, afin de, par exemple, «vérifier son compte AOL» ou «confirmer ses informations bancaires». Depuis, le principe est resté le même... Cependant, au fil du temps, à l'image de ce qui se passe dans la nature, les stratégies et les pièges évoluent et se complexifient... à l'image de ce message reçu à voir ici...

Aujourd'hui, ce sont directement les compte bancaires qui sont visés, il est plus simple de procéder ainsi que d'attaquer physiquement une banque. Il faut savoir que les sociétés bancaires n'utilisent jamais le courriel pour corriger un problème de sécurité avec l'un de ses clients...

Le "phishing" a fait plus de 2 millions de victimes en France en 2015

En 2016, le phénomène s'est encore amplifié...

Dixit Le Point : Le « phishing » est un phénomène en pleine expansion : il a fait plus de 2 millions de victimes en France en 2015. Selon Europe 1, qui révèle l'information, les Français ont été cent fois plus nombreux que deux ans auparavant à se faire « hameçonnées ». Le principe est simple : des gens vous expédient de faux mails et se font passer pour votre banque, le fisc ou encore un partenaire commercial. Alors que vous croyez avoir affaire à vos interlocuteurs habituels, vous livrez les informations qu'on vous demande : nom, prénom, adresse, état civil ou pire, vos codes bancaires. Toutes ces données sont immédiatement réutilisées... Même si ce chiffre me parait excessif, il n'en demeure pas moins massif et de plus en plus dangereux. Vous devez le savoir si vous avez une boite mail...

Lire l'article du Point...

Deux méthodes sont utilisées :

  • Reconstitution d'un email paraissant honnête pour vous faire croire que c'est la société officielle (banque, organisme de crédit, provider...) qui vous contacte le plus souvent pour signaler un incident sur ses serveurs et vous invitant à rentrer dans un espace réservé pour livrer des informations confidentielles. Les pirates vont jusqu'à insérer de vrais logos et de vrais liens dans le mail (cf. ci-dessous) et surtout réalise un site internet quasiment identique à l'original qui peuvent donc vous leurrer...
  • Utilisation des failles de votre navigateur. Vous êtes redirigé sur une page dont l'adresse n'est pas celle affichée dans la barre du navigateur. Par exemple, il y a quelques années déjà, cela pouvait arriver sur Internet Explorer dont la faille n'a été corrigée qu'en 2004 ! Depuis, les méthodes se sont affinées et les mises en scène plus sophistiquées...
  • Création d'un environnement (page de site où mène le lien cliqué) bien imité et rassurant pour la cible, et l'inviter à faire ce qu'on lui demande comme ici...

Voici quelques exemples des messages électroniques qui sont en réalité des tentatives de récupération de vos données personnelles non justifiées, autrement dit du « phishing » ou hameçonnage.


Dernier exemple de tentative de phishing...

Là, ce sont les impôts de 2015...

mail 01

Date : 16 mai 2015
De : France 2015 <Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.>
À : Erwan Corre
Objet : - Amortissement - Date : 16/05/2015

Tentative de phishing sur mes impôts 2015

Là, il n'y a pas de commentaire à faire : seulement le petit frisson à la réception d'un mail du service des impôts...

Relativement "propre", les quelques erreurs de syntaxe et d'accords sautent aux yeux si l'on en a une lecture un peu attentive. Le lien, lui, renvoie vers un site nettement contrefait...


Exemple 1

Message reçu sur mon compte Free...

Mail 01

Date : 2 avril 2012
De : Banque Postale <Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.>
À : Erwan Corre
Objet : Avis

Votre compte est sur le point d'expirer!

Pour rester actif, cliquez s'il vous plaît sur la liaison ci-dessous et suivez les étapes fournis:

http://www.lbp-fr.net/connexion

Message laconique et relativement bien écrit mais qui semble suspect... même si l'adresse et le lien à cliquer semblent corrects...

En fait, je n'ai tout simplement pas de compte chez eux... Je clique et là...

Tentative de phishing avec mécanisme de captcha évolué

Ouah ! On arrive donc sur une invitation à fournir ses codes personnels à l'image de ce qui se fait sur le site de la Caisse d'Epargne par exemple... Bref, un captcha, sensé valider le sérieux du site...

Là, c'est inédit... On assiste avec étonnement et inquiétude à une évolution majeure dans le jeu de l'arnaque en ligne !

Même si le mécanisme ne semble pas fonctionner (heureusement... pour l'instant ?!), on peut voir dans le code source de la page que le piège n'est pas loin d'être parfait...

D'ici quelques jours, la page sera repérée par les robots anti-contrefaçon et disparaîtra d'elle-même...


Exemple 2

Message reçu sur mon compte GMAIL...

Alerte de phishing sur Google, compte Gmail

Date : 2 novembre 2011 03:06:38 HNEC
De : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
À : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Objet : Alerte-Sécurisé Vérification de Votre Comptes Gmail (n° 31-45688-K8Y116M)

L\'ÉQUIPE GMAIL!®

Suite au message envoyé à l\'équipe GMAIL®, le serveur à rencontré certaines erreurs ne permettant pas de répertorier votre adresse de messagerie.

-Erreur (31-45688-K8Y116M) * mauvaise données envoyées .

Veuillez dans un délaie de 72h renvoyer les informations correct, faute de quoi vous verrez la
fermeture systématique de votre adresse de messagerie.
Remplir a nouveau et correctement les champs ci-dessous :

Adresse de messagerie Gmail :....................................................
Mot de passe :...................................................................
Nom et Prénom: ..................................................................
Adresse de messagerie secours :..................................................
Téléphone.........................................................................
Veuillez considérer ce message comme étant le dernier avertissement avant la fermeture de votre
messagerie GMAIL®.

L\'équipe Gmail®
Service Clientèle.

Diagnostic

Ici, le message est minimaliste et sa rédaction encore indigente. Et l'erreur signalée "mauvaise données envoyées"... on se demande bien lesquels. Le message "le serveur à rencontré certaines erreurs ne permettant pas de répertorier votre adresse de messagerie" n'a d'ailleurs pas sens... car vous avez bien reçu ce message !

Puis, de remplir les champs du formulaire... Bizarre quand même cette manière de procéder... Des "®" et un numéro béton (n° 31-45688-K8Y116M) pour donner l'illusion de sérieux...

Gmail lui-même - et ses millions de comptes utilisateurs - semble l'objet de convoitise bien comprises... Des objets du message tronqués, tournures inusitées dans le contenu du mail (délaie, systématique, ...), pas d'accord, de ponctuation régulière... Manifestement une traduction automatique approximative... On se demande bien comment de tels messages peuvent être lancés tel quel... Et par qui ?

Le lien indiqué mène vers une page suspecte mais non bloquée, pour l'instant, par les filtres anti-phishing de Firefox : http://servfacturnass.fr/ca.php.fr

Bref, tentative de phishing / hameçonnage avérée...


Exemple 3

Message reçu sur mon compte Free...

Date: 13 janvier 2011 03:28:19 HNEC
De: Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
À: Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Objet: Derniere aven

Logo Free Phishing


Chère Cliente, cher Client,

Après plusieurs tentatives inefficace de vous relier par téléphone nous vous envoyons ce mail pour vous informer qu'une est survenue lors des soustraction

En effet le 13 janvier 2011 votre budget à été coupe de la Somme de (89.E uros)

A fin de procéder a un Transfert immédiat nous vous prions de bien vouloir cliquer sur le lien ci-dessous et fournir toute information susceptible d'accélérer cet liquidation.

Accédez au formulaire d'amortissement en cliquant sur le lien suivant:

(Activer.votre.Compte.P.r.o.fr).

Si vous ne souhaitez plus recevoir d'informations commerciales par e-mail

Diagnostic

Ici, le message est carrément consternant pour qui est amoureux de la langue française : objet du message tronqué, tournures inusitées dans le contenu du mail (relier, soustraction, coupe de la somme...), pas d'accent, de ponctuation régulière... Manifestement une traduction automatique approximative... On se demande bien comment de tels messages peuvent être lancés tel quel... Et par qui ?

Le lien indiqué mène vers une page suspecte mais non bloquée, pour l'instant, par les filtres anti-phishing de Firefox : http://servfacturnass.fr/ca.php.fr

Bref, tentative de phishing / hammeçonnage avérée...


Exemple 4

Message reçu sur mon compte Free...

Date: Sat, 15 Aug 2009 18:54:08 +0200 (CEST)
De: Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
À: Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Objet: Base De Données Free Est Entrain De
1 unnamed text/html 1,03 KB Téléchargement

Logo Free Phishing

Cher (e) client(e) :

en date du 12 aout 2009 nos logiciels de payements ont effectuer une fausse transaction financierre entrainant alors le double prelevement de fond sur votre compte en vue de reparer cette mal adresse de notre part nous vous prions de bien vouloir cliker sur le lien si dessous et de nous transmettre certaines information relative au renboursement . bien entendu nous vous prionz de nous excuser pour ce derangement et en espere que free comble toutes vos attente

Cliquez ici pour fournir les informations.

Diagnostic

Ici, le message est manifestement malhonnête : objet du message aberrant (Base De Données Free Est Entrain De), syntaxe hasardeuse du contenu du mail (payements, financierre, cliker...), pas d'accent, de majuscule, conjugaisons fantaisistes... Manifestement une traduction automatique sans relecture... On se demande bien qui se donne la peine de réaliser de tel faux grossier !

D'ailleurs, ici, le lien indiqué mène vers une page d'erreur : http://jupiterlost.com/components/com_agora/img/members/0/Free.fr

Bref, tentative de phishing / hammeçonnage avérée...


Exemple 5

Message reçu sur mon compte Free...

Date: 15 Aug 2014 02:49:59 -0000
De: Orange Internet <Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.>
À: Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Objet: Mettre a jour de vos informations !
1 unnamed text/html 1,96 KB Téléchargement

Logo France Telecom Phishing

Cher(re) utilisateur Orange,

Pendant une procdure automatique rgulire de vrification, nous avons rencontr un problme technique
provoqu par le fait que nous ne pourrions pas vrifier les informations que vous avez fourni pendant l'enregistrement
a Nous vous demandons de soumettre les informations ncessaires pour que nous puissions verifier votre identit,
autrement votre accs aux services Orange et Wanadoo sera temporairement bloqu jusqu' ce que vous passiez
le procd de vrification..

NUMRO DE REFRENCE : FR3570#99-21

>>>> Cliquez ici pour Mise jour de vos informations! <<<< .

Une page d'identification s'ouvrira, vous permettant de verifier vos informations personelles. Une fois que vous avez mis jour votre compte, votre session Orange ne sera pas interrompue et continuera normalement. Le manque de mettre jour de vos dtails d'identification aura comme consquence l'annulation du service.
=
L'équipe Orange ,Departement de revue des comptes !
Service Orange Internet
Orange.fr

Diagnostic

Là, le plus frappant, ce sont les accents (caractère diacritique) qui ont tous sauté, mais cela arrive parfois suivant les différents serveur ayant relayé le message... mais c'est assez rare. Un peine mieux rédigé que le message précédent, l'objet du mail ne trompe pas "Mettre a jour de vos informations !"...

A noter : l'image du logo Orange - France Télécom est appellée par un lien absolu qui ne renvoie pas vers un serveur web d'Orange (http://www.mypicx.com/uploadimg/1794967823_07262009_1.png), ce qui bien un indice du caractère fallacieux du message.

Bref, tentative de phishing / hammeçonnage avérée...


Exemple 6

Message reçu sur mon compte Free, siglé free...

De : "Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser." <Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.>
Date : 10 avril 2014 07:51:08 HAEC
À: Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Objet : Mettre a jour vos informations confidentielles
Répondre à : Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

Free adsl, On regarde toujours en avant pour la haute securite de nos clients

Cher membre Free adsl,

attention ! Tentative d'intrusion dans votre compte Free adsl!
Quelqu'un avec le IP address 149.225.126.87 a essaye d'acceder a votre compte personnel! Nous vous prions de bien vouloir vous connecter a votre compte Free adsl Et mettre a jour vos informations confidentielles ! Vous avec un delai de 24h pour retablir l? acces a votre compte sans ceux Ce dernier sera definitivement supprime !

acceder a Votre Compte

Vous pouvez egalement confirmer votre adresse email en vous connectant a votre compte Free adsl a l'adresse suivante : http://www.free.admin.fr/

*Important*
Nous avons demande quelques renseignements complementaires, ce qui va etre le cadre de processus d'ouverture de session securise. Ces informations complementaires seront posees lors de votre connexion avenir pour la securite, s'il vous plait fournir toutes les informations sur ces completement et correctement autrement pour des raisons de securite ,nous devons fermer votre compte temporairement.

Nous vous remercions de votre prompte attention a cette question.
S'il vous plait comprendre que cela est une mesure de securite destinee a vous aider et de proteger votre compte. Nous nous excusons pour tout inconvenient.

Raphael FaURE - Service Free adsl Internet

Diagnostic

Là aussi les accents ont tous disparus... Guère mieux rédigé que le message précédent, l'objet du mail ne trompe pas "Mettre a jour de vos informations confidentielles" presque identique au précédent...

Ici, on s'amuse même à signer le message pour plus de crédibilité...

En savoir plus sur cette fraude : http://www.universfreebox.com/article7747.html

Bref, tentative de phishing / hammeçonnage avérée...


Exemple 7

Message reçu sur mon compte YAHOO...

Date: Sun, 9 Aug 2014 14:04:54 +0200
De: Compte internet <Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.>
À: Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Répondre à: Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.
Objet: Vos Coordonnées Personnelles
2 unnamed text/html 1,69 KB Téléchargement


Cher (e) client (e) :

Ce Mail Vous est envoye suite a une situation d�urgence.
Une defaillance technique au niveau de l�un de nos logiciels gerant les comptes clienteles a eu pour effet la suppression des donnees relatives aux dossiers de certains de nos abonnees. La consequence directe en a ete la desactivation des services fournis (Adsl, telephonie, messagerie electronique...)
Dans la crainte que le probleme ne se propage au reste de notre clientele, vous �tes appele a fournir des informations necessaires a la mise a jour de votre dossier. Pour vous eviter la suppression de nos services suscites, vous devez imperativement repondre a ce mail en cliquant sur le lien ci-dessous et fournir quelques renseignements dont un numero de telephone joignable a fin que notre service client puisse vous contacter des reception de votre dossier. Nous vous prions de nous excuser pour le desagrement cause par cet incident.

Cliquez ici Pour etablir votre dossier

Nb : � Une negligence de ce mail entra�nerait pour vous une suppression des services fournis a l�egard de laquelle orange decline toute responsabilite.

mail 03

Diagnostic

Ici, le site renvoie vers une page inexistante (http://venice-bochum.de/images/smilies/p/info.htm) et le domaine est un site allemand de prêt-à-porter (!).

Bref, une des plus lamentables tentative de phishing / hammeçonnage avérée...


Les remèdes

On le voit, tous ces messages sont intentionnellement rédigés pour vous nuire même si, le plus souvent, on remarque rapidement la supercherie. Mais il faut parfois avoir un œil plus exercé. Pourtant, de nombreuses personnes, pas seulement naïves mais le plus souvent inquiètes se laissent berner par ces message d'autant plus que parfois, les sites vers lesquels renvoient ces liens - même si leur existence est très temporaire - sont bien imités, notamment grâce à la méthode du Spoofing.

Les fabricants de logiciels et de navigateur web ont bien pris conscience du danger de la prolifération de ces menaces qui sont bien réelles et présentent de multiples visages. Des parades existent désormais pour que votre crédulité ne soit pas abusée du premier coup. Des listes de sites frauduleux (comme pour le spam) sont mises en commun et entrent dans les mises à jour normales de sécurité de vos machines comme par exemple pour Firefox, qui reste à la pointe dans ce domaine :

Les alertes au phishing notifiées par votre navigateur

Efficace !

ou encore...

Firefox : message d'alerte de tentative de phishing


La sanction

Les prestataires et les gestionnaires des moteurs de recherche tentent évidemment de sécuriser au mieux les informations qu'ils nous délivrent lors de nos recherches et d'autres systèmes d'alertes se mettent peu à peu en place - avec plus ou moins de succès - pour prévenir les mauvaise rencontre sur le net, comme dans cet exemple sur les pages de réponses de Yahoo!

Exemple de message d'alerte sur les pages de réponses de Yahoo!

 

Phishing : produit gratuit dont le rapport qualité-prix est nul !

Un internaute désabusé


La réponse des prestataires

En septembre 2015(enfin !), les opérateurs téléphoniques et fournisseurs d'accès ont bien compris l'ampleur des problèmes susceptibles d'impacter leurs clients... Je mentionne, par exemple, le message de SFR qui me semble pertinent et utile...

Alerte phishing : le message de SFR


En savoir plus :

L'article Wikipedia sur le "Phishing / Hameçonnage"
La site "www.antiphishing.org" (en)
Sur AB Consulting : www.ab-consulting.fr/blog/securite/10-indices-hameconnage
L'article Wikipedia sur "L'usurpation d'adresse IP"
Le guide PayPal sur la fraude et phishing


En poursuivant votre navigation sur le site, vous acceptez l'utilisation des cookies...