hameçonnage de bas étage ?
Le
Thierry Herbelot
Hello,
Je viens de recevoir un email visiblement bidonné, qui me demande de mettre
à jour mes informations free :
Veuillez mettre a jour votre information.
From: Service.clientel@freeadsl.fr
To: thierry.herbelot@free.fr
Date: Today 13:43:41
Le message est codé en HTML, utilisant une police windows-1252 (<META
content="MSHTML 6.00.2900.2180" name=GENERATOR> : bien crédible pour message
supposé venant de Free).
Le message demande de ressaisir des informations relatives à la carte de
crédit (bien voyons ) sur un serveur en Grande-Bretagne :
http://freemansuserverhf.co.uk/.
Une petite requête whois sur le nom de domaine indique qu'il a été ouvert
récemment :
Registrant's address:
8 boulevard
Paris
70050
France
(un petit effort pour être anonyme ?)
Registrar:
Enix Ltd [Tag = ENIXLTD]
URL: http://www.enixltd.com
Relevant dates:
Registered on: 28-Jul-2010
en creusant un peu plus :
host freemansuserverhf.co.uk
freemansuserverhf.co.uk has address 84.45.45.133
whois 84.45.45.133
organisation: ORG-EL81-RIPE
org-name: Enix Ltd.
org-type: OTHER
address: Enix Ltd,
(package domaine + serveur acheté chez le même fournisseur ?)
Et pour finir, dans les headers de l'email d'origine :
Message-ID: <20100815114341.32427.qmail@plesklinux13.dns26.com>
X-Additional-Header: /var/www/vhosts/postarsrevermas.com/httpdocs
whois postarsrevermas.com
Registrant:
N/A
GXXXXXT JXXn (mXXXXXXXXXX9@hotmail.fr)
Rue XXXXXXX XXXXXX
FXXXA
not applicable,4XXXX
FR
Tel. +33.XXXXXXXXX9
Creation Date: 09-Jul-2010
Et une recherche dans l'annuaire téléphonique renvoie effectivement à une
personne physique.
Il est presque certain que la correspondance entre le nom d'une personne et
et une tentative de piratage ne soit qu'une malheureuse coincidence
(détournement de sa carte bleue ?)
Thierry
Je viens de recevoir un email visiblement bidonné, qui me demande de mettre
à jour mes informations free :
Veuillez mettre a jour votre information.
From: Service.clientel@freeadsl.fr
To: thierry.herbelot@free.fr
Date: Today 13:43:41
Le message est codé en HTML, utilisant une police windows-1252 (<META
content="MSHTML 6.00.2900.2180" name=GENERATOR> : bien crédible pour message
supposé venant de Free).
Le message demande de ressaisir des informations relatives à la carte de
crédit (bien voyons ) sur un serveur en Grande-Bretagne :
http://freemansuserverhf.co.uk/.
Une petite requête whois sur le nom de domaine indique qu'il a été ouvert
récemment :
Registrant's address:
8 boulevard
Paris
70050
France
(un petit effort pour être anonyme ?)
Registrar:
Enix Ltd [Tag = ENIXLTD]
URL: http://www.enixltd.com
Relevant dates:
Registered on: 28-Jul-2010
en creusant un peu plus :
host freemansuserverhf.co.uk
freemansuserverhf.co.uk has address 84.45.45.133
whois 84.45.45.133
organisation: ORG-EL81-RIPE
org-name: Enix Ltd.
org-type: OTHER
address: Enix Ltd,
(package domaine + serveur acheté chez le même fournisseur ?)
Et pour finir, dans les headers de l'email d'origine :
Message-ID: <20100815114341.32427.qmail@plesklinux13.dns26.com>
X-Additional-Header: /var/www/vhosts/postarsrevermas.com/httpdocs
whois postarsrevermas.com
Registrant:
N/A
GXXXXXT JXXn (mXXXXXXXXXX9@hotmail.fr)
Rue XXXXXXX XXXXXX
FXXXA
not applicable,4XXXX
FR
Tel. +33.XXXXXXXXX9
Creation Date: 09-Jul-2010
Et une recherche dans l'annuaire téléphonique renvoie effectivement à une
personne physique.
Il est presque certain que la correspondance entre le nom d'une personne et
et une tentative de piratage ne soit qu'une malheureuse coincidence
(détournement de sa carte bleue ?)
Thierry
Poser une question
Dans Mozilla (je ne sais pour les autres) faut et il suffit d'aller
dans l'aide puis dans "signaler un site contrefait".
--
Roland Garcia
Le mail est destiné a piéger les gens suffisement confiants/naïfs pour
y croire, alors le fait que le mail soit en HTML et encore plus les
en-têtes du, tant du mail que du corps, ce n'est même pas un détail à
ce niveau là.
Ou plus simplement l'utilisation de son serveur à son insu parce qu'il
est configuré avec les pieds ?
Cela étant dit, quelle est la question ? :/
en fait, le serveur est juste configuré avec la page d'accueil par défaut de
Apache (sur une centos, par ailleurs)
pas de question : je débarque et je trouvais amusant de passer 3 minutes sur
cet email et de trouver la trace d'une personne physique
(mais par ailleurs, le spam n'est pas exactement rare ...)
TfH
Le service HTTP semble être tout juste installé oui, c'est tout ce que
je sais pour ma part. N'ayant pas compromis la machine, je n'ai aucune
idée de ce qu'il y a derrière la page d'index par défaut. De même, je
n'ai pas lancé un scan de port complet et ignore donc si d'autres
services tournent ou s'il n'y a que le port 80 en écoute.
Et pourtant un point d'interrogation dans le titre.
Chacun s'amuse comme il veut, mais quel rapport avec le forum ? Ton
propos est trop abscon pour que le lecteur lambda le comprenne et
puisse refaire la vérification de son côté en cas de doute. Quant aux
lecteurs qui le comprennent, ils savaient déjà le faire.
Que tu soupconnes d'avoir été victime d'une escroquerie et que a qui
tu as donc envoyé un email (puisque tu as son adresse hotmail) pour
l'avertir de ce fait. Enfin, je dis ça, mais Jean G. fait peut-être
parti des lecteurs silencieux de ce forum.
Et ne concerne pas la sécurité informatique lorsqu'il n'est que du
spam.
Accessoirement, ça :
|Newsgroups: fr.comp.securite
[snip]
|Followup-To: fr.comp.securite
C'est bête.
--
Forcément que je suis grincheux, il pleut :(
caressé son clavier pour nous dire dans le message suivant:
http://www.cijoint.fr/cjlink.php?fi...SWxaSc.png
--
Utiliser le butineur, le courriéleur, le lecteur de nouvelles
et le SE avec lesquels vous vous sentez le plus sécurisé ... ;)
Posted via www.individual.net
http://mdoucet.wordpress.com/