Précautions à prendre contre le phishing

phishing

Cet été, un ami s’est fait retirer quelques milliers d’euros sur son compte bancaire via Paypal. Après en avoir discuté de vive voix avec lui, j’en suis rapidement venu à la conclusion qu’il a surement été victime de phishing avant de lui donner quelques conseils à suivre pour éviter de subir de nouvelles arnaques.

Il se trouve que j’ai moi-même reçu ce genre de message de merde frauduleux sur une de mes adresses-poubelle. J’ai donc envoyé un mail à cet ami-victime avec quelques explications et quelques screenshots. Après relecture, un peu plus tard, il s’est avéré que ce mail était plus long que je ne le pensais et qu’il y avait tous les éléments pour en faire un article, afin que d’autres personnes novices ne se fassent pas prendre dans ce type de piège. Nous allons donc voir comment reconnaître au premier coup d’oeil s’il s’agit d’un vrai mail ou pas.

Tout d’abord, voici le mail reçu, avec quelques annotations de ma part :

fakePaypal1.1

Détaillons tout ça…

Karadoc3

Le titre tout d’abord :

« Your account hass been limited until we hear from you »

Si on le traduit littéralement, il nous dit : « Votre compte a été limité jusqu’à ce que nous vous entendions ». Alors non seulement d’un point de vue grammatical c’est à chier ça laisse à désirer, mais il y a un « s » de trop sur « has. » De plus, je pense que Paypal ne se permettrait pas de poser de telles conditions. C’est le moment où l’on pourrait déjà se dire « On fout ça à la corbeille, fin de l’histoire ». Mais par acquit de conscience, poursuivons quand-même.

L’adresse mail a une extension « e-capita.com ». C’est étrange pour une société de paiment en ligne qui pourrait largement avoir une adresse pro avec son propre nom de domaine (De type *****@paypal.fr ou quelque chose qui y ressemble)  J’ai donc fait un host e-capita.com, rien… :

Screenshot from 2016-09-02 17-16-36

Le contenu du mail nous dit ensuite qu’ils veulent faire une vérification de nos informations, sinon notre compte sera détruit, carrément ..!

young crazy business man with a hammer smashing a laptop

Vient ensuite cet immonde bouton orange qui nous pollue la vue depuis le début. Lorsque nous mettons le pointeur devant, nous voyons en bas de la fenêtre qu’il nous dirige vers le domaine golftown.fi . L’extension nous indique déjà que nous irons surement faire un tour en Finlande mais un whois s’impose :

golftown

Magasin de sport à Tuusula, Paypal nous avait caché ça dites donc… Visiblement il s’agit d’une vraie boutique, mais quel rapport avec Paypal ? Allons donc vérifier ça de plus près. Par sécurité, je n’ai bien entendu pas cliqué sur cet immonde bouton orange, mais j’ai copié / collé l’URL dans Tor Browser. Voici la destination de ce bouton :

fakePaypal2

Ah… non… pardon… Paypal n’a pas de certificat SSL valide, c’est bien connu. On va donc accepter ça :

fakePaypal3

Maintenant on peut y aller :

fakePaypal4.3

La page est jolie, plus vraie que nature, mais l’adresse de serveur dans la barre d’adresse pique un peu les yeux. On va la coller derrière un autre whois pour voir si nous sommes toujours en Finlande :

fakePaypal5

Ah, non, grâce à la magie du web, nous sommes maintenant à Sofia en Bulgarie. Beaucoup de redirections pour un site aussi sérieux que Paypal, non ?

Si nous le comparons avec l’apparence actuelle du vrai Paypal, voici à quoi il ressemble et surtout la grosse différence dans la barre d’adresse :

fakePaypal6.2

La barre d’adresse nous indique que nous sommes en https, et dans la partie verte à gauche, le cadenas nous indique que le certificat est valide, lui… et sa couleur verte nous indique que la connexion est sécurisée au plus haut degré. De plus, le nom de domaine « paypal.com » apparait bien dans l’adresse du site.

Je pense que nous pouvons arrêter les dégats. Alors résumons :

  • paypal.fr ne sait pas écrire
  • paypal.fr lance des menaces
  • paypal.fr utilise une adresse mail e-capita.com
  • paypal.fr n’aime pas les connexions sécurisées
  • paypal.fr nous redirige vers la version Finlandaise d’un site de sport
  • En fait non, c’était une blague, on est redirigé en Bulgarie

On peut voir que même si le faux site Paypal est bien foutu, beaucoup de choses auraient duent nous sauter aux yeux dès le début. À l’avenir ne cliquez pas trop vite sur un mail venant d’une entreprise de type banque et paiement en ligne (ou autres, mais il y a peut-être moins de danger immédiat).

Epilogue pour les plus novices :

Certains points abordés ont peut-être été un peu trop techniques, mais il faut surtout se concentrer les vérifications suivantes :

  • Email avec un sujet et un texte sans fautes
  • Adresse email comportant le nom de domaine du site
  • Vérifier la destination d’un lien en laissant le pointeur de la souris dessus
  • En cas de doute, ne cliquez sur rien dans l’email, accédez par vous-même sur le site qui est sensé vous contacter (En tapant son URL dans la barre d’adresse ou en passant par une recherche Google) afin de voir si un message privé vous est vraiment adressé. Si vous voulez visualiser certains liens, ouvrez-les en faisant un copié / collé dans Tor

Ces quelques conseils peuvent donc se résumer par ces 4 images :

PAS BIEN !!! 👿 

fakePaypal1.1

fakePaypal4.3

TRÈS BIEN :mrgreen:

fakePaypal7.2

fakePaypal6.2

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *