L’hameçonnage de la semaine. Très efficace, mais, …, un départ très sérieux et basique pour @PoliceNationale, @ANSSI_FR @signalspam @Gendarmerie
#phishing #cybersecurity #spam #police
Tout commence lorsque je reçois un message très sérieux de Darty m’annonçant que ma commande est en cours de préparation.
évidemment, je n’ai rien commandé. Heureusement, la procédure d’annulation est précisée en pied du message.
À se stade, la bonne manière de réagir est d’ouvrir par ailleurs un navigateur sur le site Darty — encore, en tapant à la main d·a·r·t·y·.·c·o·m , ouvrir son compte et vérifier les commandes en cours.
En cas de doute, envoyer un message au support de Darty.
Le message est très propre. Plutôt pas de faute d’orthographe. Passons aux vérifications d’usage.
L’émetteur connaît précisément une adresse postale qui m’a été attachée (cela me fâche, mais ce n’est pas une surprise). L’adresse de réception de la commande, qui n’est pas moi, est manifestement une adresse valide, probablement une victime porte – nom qui n’est même pas au courant que son adresse est utilisée à des fins frauduleuses. L’adresse d’émission du message est légitime — @darty.com — (faisable de la faire mentir, mais pas trivial pour garder le message accepté par les serveurs intermédiaires de messagerie).
Seul élément alarmant : l’adresse url qui est cachée par le lien Annuler ma commande pointe vers : darmost.host/index.php?name=NNNN-&firstname=FFF&road=RRR&cp=00000&town=TTTT. Cela ne ressemble que de loin à Darty.
Pour ceux qui ne l’on pas encore compris, ce message est un faux (hameçonnage qui a pour objectif de me faire dévoiler des informations utilisables par un voleur).
La page d’arrivée de ce lien (n’y allez pas, sans permis de conduire spécifique) est lui – même très rassurant. Il ne demande que de vérifier l’adresse postale (déjà connue et remplie), et de rajouter un numéro de téléphone pour confirmer le remboursement. Toute la page est bien construite.
L’adresse de la page affichée par le navigateur ne fait pas très peur (darty.com, remboursement, le cadenas vert de sécurité, …). Si on clique sur n’importe quel lien, on arrive sur la page du vrai Darty.
On a envie de vérifier et remplir les champs manquants pour annuler la commande qui aurait été passée à tort. En passant à l’étape suivante, la victime de l’hameçonnage aura fournit des informations fraîches et fiables à la voleuse.
Après ce premier pas (en validant le formulaire de remboursement), une nouvelle page s’affiche. Technique des petits pas, de la grenouille qui bout, du pied dans la porte, … Après avoir commencé un processus, nous sommes plus enclin à le continuer, à fournir plus d’éléments à notre interlocuteur.
Évidemment, pour rembourser, il faut un support au remboursement, typiquement une carte bancaire.
Une autre petite technique ici : « Je choisis mon moyen de remboursement ». Le voleur induit que l’on est déjà volontaire pour fournir les éléments bancaires.
Ici, c’est clairement une sirène qui doit sonner. Le remboursement sur une carte bancaire ne nécessitera jamais l’usage du cryptogramme. Pour des raisons de sécurité et éviter des risques de blanchiment, les vendeurs remboursent sur le moyen de paiement ayant été utilisés pour passer la commande (ils ont donc déjà les informations nécessaires — même si vous n’avez pas coché ☑ enregistrer ma carte).
Quoi qu’il en soit, ne jamais fournir des informations bancaires sur un site accédé indirectement (depuis un message par exemple).
Si on remplie et valide les champs de carte bancaire — encore, ne le faîte pas, une surprise nous attend : un code de vérification par SMS.
Comme je n’ai pas fourni de numéro de téléphone valide, je ne sais pas quel est l’effet de ce code de vérification. Sur un remplissage au hasard, il retourne une erreur. Je ne peux plus que spéculer. Je vois trois options possibles :
- rien, c’est du bluf qui renvoie systématiquement une erreur. Il augmente la pression sur la victime pour la pousser à remplir et re – vérifier tous les champs demandés par la voleuse,
- il permet de vérifier que la victime a véritablement donné son numéro de téléphone pour préparer une autre attaque (hameçonnage téléphonique par exemple, revente des données avec fort niveau de confiance),
- le pire : la voleuse (ou un bot de du voleur — programme informatique) utilise instantanément les données bancaires pour effectuer des opérations nécessitant un code de validation
SMS(par exemple un achat important ou un transfert d’argent), code que le voleur espère récupérer à travers ce champs.
Malheureusement, un indice m’indique que c’est bien la pire option (nº 3) qui est la bonne. « Lydia Solution » aurait effectivement envoyé un code au numéro fourni. Une recherche rapide montre que Lydia est un mécanisme de paiement directe entre particuliers. Un moyen efficace de se faire transférer de l’argent.
On peut regarder rapidement où est le serveur hébergeant le faux formulaire de remboursement. Sans grande surprise, il pointe vers un pays d’Europe de l’Est, nous n’aurons pas facilement plus d’informations.
En regardant par où est passé le message avant d’être déposé dans ma boîte aux lettre, une grande surprise nous attend.
Le message semble avoir été émis depuis un ordinateur (portable Laptop) hébergé chez Free, à Paris. Pour une force de police, il est trivial de retrouver cet ordinateur, ou son propriétaire.
Je ne me prononcerai pas pour dire s’il s’agit d’une maladresse de la voleuse (faire de belles pages Web et gérer l’envoie de messages électroniques sont des métiers très différent) ou si le portable utilisé est une recrue involontaire (ordinateur zombie — contrôlé à distance). Il faudrait gratter un peu plus loin, et je n’ai ni le droit, ni le temps. @PoliceNationale @Gendarmerie
