Passer au contenu

[alerte arnaque] Un beau phishing comme on aimerait en voir moins souvent

Alerte sur une tentative de phishing parfaitement bien réalisée.

Des tentatives de phishing, nous en recevons tous, fréquemment, pour ne pas dire quotidiennement. Généralement elles sont tellement mal réalisées qu’on les repère tout de suite, même sans être un grand expert de la question : vocabulaire à hurler de rire, fautes, mélange de français et d’anglais bien pourri… Bref, quand l’objet du délit n’a pas été pris dans les filets de votre antispam, un seul coup d’œil sur le corps de l’email permet de savoir à ce à quoi on a affaire, et de détruire l’intrus illico.

Mais il arrive parfois qu’une tentative de phishing soit très bien réalisée, et que dans un petit moment d’inattention le plus affuté des internautes puisse éventuellement se faire avoir. C’est le cas cette petite cochonnerie, dont j’ignore depuis quand elle tourne sur les internets, que j’ai reçue à deux reprises hier. Je ne me suis pas fait avoir mais on peut aisément imaginer que d’autres, moins au fait des subtilités des arnaques sur internet se fassent avoir.

Rien de nouveau dans cet email d’escrocs, mais une réalisation impeccable :

  • vous recevez l’email de l’un de vos contacts, avec la bonne adresse d’origine
  • le texte est court, concis, crédible et sans aucune faute
  • la présentation du mail est propre
  • et surtout, la page sur laquelle il renvoie est une copie parfaite d’une page de connexion Google, favicon incluse
  • et vous savez quoi ? Quand j’ai répondu au mail, juste pour voir, le malandrin qui est derrière ça a eu le culot de me répondre “Je envoyé le courriel à you..it est sûr”. Là évidemment, c’est un peu moins propre 🙂

Seul petit indice qui devrait éveiller un soupçon : la page “http://www.halsafastfood.com/a/” sur laquelle pointe le lien est en anglais.

Que se passe-t-il si on se fait avoir ? C’est simple : les auteurs de cette merde récupèrent vos identifiants Google (ou autres, voir la liste déroulante) et peuvent se connecter à votre profil. A partir de là vous pouvez tout imaginer : usurpation d’identité, récupération d’autres mots de passe, y compris bancaires, violation de vie privée, vol de documents confidentiels, etc etc etc.

Comme le font remarquer certains sur mon post Facebook, il est étonnant que Google, avec les outils dont il dispose, ne soit pas capable de bloquer ou d’alerter sur la dangerosité de ce type d’email, reçu via Gmail. Cela étant, c’est chose faite aujourd’hui, voir l’avertissement dans Gmail et également sur Firefox. Le pire dans l’affaire étant que le propriétaire du site en question n’y est peut-être pour rien, si ce n’est que son répertoire a été hacké probablement grâce à une faille de sécurité, ce qui peut arriver à tout le monde.

En attendant, combien se sont fait piéger ?…

📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.

Newsletter 🍋

Abonnez-vous, et recevez chaque matin un résumé de l’actu tech

12 commentaires
12 commentaires
  1. J’ai un vieux mails qui date de 1998 et qui est un vrai piège à mouches pour ce genre de chose ce qui me permet de suivre un peu les évolutions de ces tentatives d’arnaque.

    La plupart du temps se sont des sites qui se sont fait hacker et insérer une page à l’insu du webmaster, le plus souvent au travers de failles de plug-ins des blogs (WordPress par exemple).

    Récemment j’en ai reçu un très bien fait qui n’était pas dû à un hack de blog mais un fausse page de connexion client SFR créée … sur une page perso SFR, du coup l’url se terminait par sfr.fr ce qui donnait un certain authenticité au lien 😉

    Je signale systématiquement les liens ici (que j’ai mis dans ma barre des favoris) ce lien est d’ailleurs aussi celui utilisé par FireFox dans son menu “Signaler un site contrefait” :

    https://www.google.com/safebrowsing/report_phish/

  2. J’ai activé la sécurité Google qui consiste à recevoir un code par SMS lorsque vous vous connectez à partir d’un nouveau point d’accès. C’est un peu chiant à l’utilisation, mais si le mec a vos identifiants sans votre téléphone il est chocolat.

    J’ai fait ce choix parce que j’utilise trop de services Google, et que si effectivement je me fais extorquer mon compte, je suis dans la merde grave.

  3. Si vous recevez un mail ou on vous demande vos coordonnées bancaires , vos logins et mots de passe.Pensez qu’il peut s’agir d’un phishing. Restez prudent.C’est la meilleur défense.Les pirates du web utilisent souvent cette méthode pour soutirer des informations à leur victime.A partir de ces renseignements ils peuvent agir.

  4. Pour être en plus du dev, dans le coté support des choses, j’ai vu plus d’une fois ce genre de phishing bien fichu envoyés à de grandes sociétés (dont je tairais le nom) et qui ont ….réussis. Heureusement on a réagit à temps !

    D’ailleurs pour information, une fois qu’ils ont le contrôle de votre boite mail, ils mettent en place des filtres pour supprimer tout mail entrant et éviter l’utilisateur d’aller ainsi, vérifier sa boite mail en plus de supprimer les avertissements de google.

    Après coup, ils envoient à tout le carnet d’adresse de la personne le même mail de phishing.

  5. Comme l’a indiqué @NABISS il y a de nombreux moyens de sécurisé l’accès à votre compte gmail : les sms et la vérification en 2 étapes.

  6. Grr, c’est chiant ce phishing et ces arnaques qui sévissent à longueur de journées sur le web… Heureusement, il est assez facile de les reconnaître pour un utilisateur averti, ce qui n’est malheureusement pas forcément le cas pour l’internaute moyen…

  7. Bonjour,
    Il y a un mois, j’ai acheté un compte google app, en passant par les URL officielles google (du moins je crois), et 30 minutes plus tard, ma banque m’appelait pour bloquer ma carte bleue, suite à 4 retraits frauduleux effectués depuis les US.

    Soit je me suis fait phisher de façon très subtile, soit j’ai un Virus sur la machine (aucune détection par les antivirus après des scan). De là à penser que des collaborateurs de Google auraient accès à nos données bancaires…

  8. @Christophe : Les applications de type keyloggeurs sont tout à fait adapté à ce type d’attaque et sont pratiquement indétectable… C’est d’ailleurs pour cette raison que le mot de passe des principales banques sont maintenant des clavier virtuels aléatoires : le clic sur une zone de l’écran ne permet pas de retrouver le code confidentiel 😉

  9. @VALENTIN : sauf que… certains keyloggers font aussi une capture d’écran de quelques pixels autour de la position de ta souris au moment où tu cliques, ils sont très malins !

  10. Dans un autre style, j’ai bien failli me faire avoir 2-3 fois par des pishings Paypal. C’était vraiment à s’y méprendre… Mais le fait que le mail arrive d’un contact connu, identifié, “de confiance” c’est du grand art :/

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *