hameçonnage de bas étage ?

Le
Thierry Herbelot
Hello,

Je viens de recevoir un email visiblement bidonné, qui me demande de mettre
à jour mes informations free :

Veuillez mettre a jour votre information.
From: Service.clientel@freeadsl.fr
To: thierry.herbelot@free.fr
Date: Today 13:43:41

Le message est codé en HTML, utilisant une police windows-1252 (<META
content="MSHTML 6.00.2900.2180" name=GENERATOR> : bien crédible pour message
supposé venant de Free).

Le message demande de ressaisir des informations relatives à la carte de
crédit (bien voyons ) sur un serveur en Grande-Bretagne :
http://freemansuserverhf.co.uk/.

Une petite requête whois sur le nom de domaine indique qu'il a été ouvert
récemment :

Registrant's address:
8 boulevard
Paris
70050
France

(un petit effort pour être anonyme ?)

Registrar:
Enix Ltd [Tag = ENIXLTD]
URL: http://www.enixltd.com

Relevant dates:
Registered on: 28-Jul-2010

en creusant un peu plus :
host freemansuserverhf.co.uk
freemansuserverhf.co.uk has address 84.45.45.133

whois 84.45.45.133
organisation: ORG-EL81-RIPE
org-name: Enix Ltd.
org-type: OTHER
address: Enix Ltd,

(package domaine + serveur acheté chez le même fournisseur ?)

Et pour finir, dans les headers de l'email d'origine :

Message-ID: <20100815114341.32427.qmail@plesklinux13.dns26.com>
X-Additional-Header: /var/www/vhosts/postarsrevermas.com/httpdocs

whois postarsrevermas.com
Registrant:
N/A
GXXXXXT JXXn (mXXXXXXXXXX9@hotmail.fr)
Rue XXXXXXX XXXXXX
FXXXA
not applicable,4XXXX
FR
Tel. +33.XXXXXXXXX9

Creation Date: 09-Jul-2010

Et une recherche dans l'annuaire téléphonique renvoie effectivement à une
personne physique.

Il est presque certain que la correspondance entre le nom d'une personne et
et une tentative de piratage ne soit qu'une malheureuse coincidence
(détournement de sa carte bleue ?)

Thierry
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Roland Garcia
Le #22473911
Le 15/08/2010 15:54, Thierry Herbelot a écrit :
Hello,

Je viens de recevoir un email visiblement bidonné, qui me demande de mettre
à jour mes informations free...



Dans Mozilla (je ne sais pour les autres) faut et il suffit d'aller
dans l'aide puis dans "signaler un site contrefait".

--
Roland Garcia
Stephane Catteau
Le #22475441
Thierry Herbelot devait dire quelque chose comme ceci :


Le message est codé en HTML, utilisant une police windows-1252 (<META
content="MSHTML 6.00.2900.2180" name=GENERATOR> : bien crédible pour
message supposé venant de Free).



Le mail est destiné a piéger les gens suffisement confiants/naïfs pour
y croire, alors le fait que le mail soit en HTML et encore plus les
en-têtes du, tant du mail que du corps, ce n'est même pas un détail à
ce niveau là.


Il est presque certain que la correspondance entre le nom d'une personne et
et une tentative de piratage ne soit qu'une malheureuse coincidence
(détournement de sa carte bleue ?)



Ou plus simplement l'utilisation de son serveur à son insu parce qu'il
est configuré avec les pieds ?

Cela étant dit, quelle est la question ? :/
Thierry Herbelot
Le #22475671
Stephane Catteau wrote:

Il est presque certain que la correspondance entre le nom d'une personne
et et une tentative de piratage ne soit qu'une malheureuse coincidence
(détournement de sa carte bleue ?)



Ou plus simplement l'utilisation de son serveur à son insu parce qu'il
est configuré avec les pieds ?



en fait, le serveur est juste configuré avec la page d'accueil par défaut de
Apache (sur une centos, par ailleurs)

Cela étant dit, quelle est la question ? :/



pas de question : je débarque et je trouvais amusant de passer 3 minutes sur
cet email et de trouver la trace d'une personne physique

(mais par ailleurs, le spam n'est pas exactement rare ...)

TfH
Stephane Catteau
Le #22477431
Thierry Herbelot n'était pas loin de dire :

Ou plus simplement l'utilisation de son serveur à son insu parce qu'il
est configuré avec les pieds ?



en fait, le serveur est juste configuré avec la page d'accueil par défaut de
Apache (sur une centos, par ailleurs)



Le service HTTP semble être tout juste installé oui, c'est tout ce que
je sais pour ma part. N'ayant pas compromis la machine, je n'ai aucune
idée de ce qu'il y a derrière la page d'index par défaut. De même, je
n'ai pas lancé un scan de port complet et ignore donc si d'autres
services tournent ou s'il n'y a que le port 80 en écoute.


Cela étant dit, quelle est la question ? :/



pas de question :



Et pourtant un point d'interrogation dans le titre.


je débarque et je trouvais amusant de passer 3 minutes sur
cet email



Chacun s'amuse comme il veut, mais quel rapport avec le forum ? Ton
propos est trop abscon pour que le lecteur lambda le comprenne et
puisse refaire la vérification de son côté en cas de doute. Quant aux
lecteurs qui le comprennent, ils savaient déjà le faire.


et de trouver la trace d'une personne physique



Que tu soupconnes d'avoir été victime d'une escroquerie et que a qui
tu as donc envoyé un email (puisque tu as son adresse hotmail) pour
l'avertir de ce fait. Enfin, je dis ça, mais Jean G. fait peut-être
parti des lecteurs silencieux de ce forum.


(mais par ailleurs, le spam n'est pas exactement rare ...)



Et ne concerne pas la sécurité informatique lorsqu'il n'est que du
spam.


Accessoirement, ça :

|Newsgroups: fr.comp.securite
[snip]
|Followup-To: fr.comp.securite

C'est bête.

--
Forcément que je suis grincheux, il pleut :(
Michel Doucet
Le #22477601
Bonjour/soir, le Sun, 15 Aug 2010 15:54:24 +0200, *Thierry Herbelot* a
caressé son clavier pour nous dire dans le message suivant:

Le message demande de ressaisir des informations relatives à la carte de
crédit (bien voyons ...) sur un serveur en Grande-Bretagne :
http://freemansuserverhf.co.uk/.



http://www.cijoint.fr/cjlink.php?file=cj201008/cijMSWxaSc.png

--
Utiliser le butineur, le courriéleur, le lecteur de nouvelles
et le SE avec lesquels vous vous sentez le plus sécurisé ... ;)
Posted via www.individual.net
http://mdoucet.wordpress.com/
xavier
Le #22477701
Stephane Catteau
alors le fait que le mail soit en HTML et encore plus les
en-têtes, tant du mail que du corps, ce n'est même pas un détail à
ce niveau là.



Je peux te garantir que ça score rès fort mon Spamassassin, ce genre de
choses. Sans compter les URL de phising, qui se retrouvent très vite
dans les bases distribuées, et encore un peu de score en plus :-)

--
XAv
In your pomp and all your glory you're a poorer man than me,
as you lick the boots of death born out of fear.
Stephane Catteau
Le #22478481
Xavier n'était pas loin de dire :

alors le fait que le mail soit en HTML et encore plus les
en-têtes, tant du mail que du corps, ce n'est même pas un détail à
ce niveau là.



Je peux te garantir que ça score rès fort mon Spamassassin, ce genre de
choses. Sans compter les URL de phising, qui se retrouvent très vite
dans les bases distribuées, et encore un peu de score en plus :-)



Tout comme ça fait tilter mon petit filtreur à moi que j'ai, mais
selon moi le problème ailleurs. On filtre pour ne pas être dérangé par
ces mails... que de toute façon on n'aurait pas lu et qui, si par
étourderie on avait posé les yeux dessus, ne nous aurait pas trompé un
seul instant. En somme, on fait partie des personnes qui n'ont pas
besoin d'être protégées.
A contrario, cela fait plus de quinze ans[1] que les "arnaques
nigériannes" existent et le phishing a six ou sept ans d'ancienneté
derrière lui. Si ça ne marchait pas il y a longtemps que ça aurait
disparu de notre horizon. Or les personnes suffisement naïves/crédules
pour y croire sont aussi les personnes qui ne sont pas protégées contre
ce genre d'arnaque.


[1]
Wikipédia illustre l'article par la copie d'une lettre datant de 1995,
parce que bon, il ne faut pas oublier qu'ils n'ont pas attendu internet
pour commencer leur business.
Roland Garcia
Le #22480881
Le 17/08/2010 02:10, Stephane Catteau a écrit :
Xavier n'était pas loin de dire :

alors le fait que le mail soit en HTML et encore plus les
en-têtes, tant du mail que du corps, ce n'est même pas un détail à
ce niveau là.



Je peux te garantir que ça score rès fort mon Spamassassin, ce genre de
choses. Sans compter les URL de phising, qui se retrouvent très vite
dans les bases distribuées, et encore un peu de score en plus :-)



Tout comme ça fait tilter mon petit filtreur à moi que j'ai, mais
selon moi le problème ailleurs. On filtre pour ne pas être dérangé par
ces mails... que de toute façon on n'aurait pas lu et qui, si par
étourderie on avait posé les yeux dessus, ne nous aurait pas trompé un
seul instant. En somme, on fait partie des personnes qui n'ont pas
besoin d'être protégées.
A contrario, cela fait plus de quinze ans[1] que les "arnaques
nigériannes" existent et le phishing a six ou sept ans d'ancienneté
derrière lui. Si ça ne marchait pas il y a longtemps que ça aurait
disparu de notre horizon. Or les personnes suffisement naïves/crédules
pour y croire sont aussi les personnes qui ne sont pas protégées contre
ce genre d'arnaque.


[1]
Wikipédia illustre l'article par la copie d'une lettre datant de 1995,
parce que bon, il ne faut pas oublier qu'ils n'ont pas attendu internet
pour commencer leur business.



On peut même remonter à 1789:

http://fr.wikipedia.org/wiki/Lettre_de_J%C3%A9rusalem

--
Roland Garcia
Az Sam
Le #22481341
"Roland Garcia" news:


On peut même remonter à 1789:

http://fr.wikipedia.org/wiki/Lettre_de_J%C3%A9rusalem




rigolo ca, je ne connaissais pas.

--
Cordialement,
Az Sam.
Stephane Catteau
Le #22481691
Roland Garcia n'était pas loin de dire :

Wikipédia illustre l'article par la copie d'une lettre datant de 1995,
parce que bon, il ne faut pas oublier qu'ils n'ont pas attendu internet
pour commencer leur business.



On peut même remonter à 1789:

http://fr.wikipedia.org/wiki/Lettre_de_J%C3%A9rusalem



On peut même remonter 200 ans plus tôt


Et sans doute même plus loin encore. Quand il s'agit d'escroquer son
prochain, l'être humain a très tôt su faire preuve d'imagination. Les
seules différences qu'à apporté internet, c'est d'une part le fait
qu'il y a maintenant des dizaines de millions de victimes potentielles,
et d'autre part le fait qu'il n'est plus nécessaire d'avoir
l'assistance volontaire de la victime ; au lieu de lui soutirer de
l'argent, on lui vol directement son compte en banque ou juste le
numéro de sa carte bleue suivant les cas.
Publicité
Poster une réponse
Anonyme