Alerte phishing FNAC

9 réponses
Avatar
Otomatic
Bonjour,

Reçu courriel alertant sur des tentatives de phishing FNAC.
Belle tentative, bien rédigé, pas de fautes (Voir ci-dessous) mais...
- Tous les liens, censés pointer vers des “trucs” différents, sont
stricto sensu identiques,
- Ils commencent tous par (http supprimé) :
eultech.fnac.com/dynclick/fnac/
même celui censé pointer sur gouv.fr

De plus, le site de la FNAC est en https, pas en http.

-----------------------------------------------
Bonjour,

A titre préventif, nous tenons à vous informer que de nombreux emails
qui circulent en ce moment constituent des tentatives d'hameçonnage, dit
de " Phishing ".

Ces emails reprennent à des fins frauduleuses la charte graphique et le
logo de notre enseigne.
Ils tentent de bénéficier de la notoriété de la FNAC pour récupérer vos
informations confidentielles et notamment vos données de cartes
bancaires.


Nous tenons à préciser qu'après analyse, les données utilisées dans ces
emails ne proviennent pas de fuites de données de nos systèmes
d'information.
Ainsi si votre adresse figure dans le faux récapitulatif de commande,
elle ne provient pas d'une faille de notre site mais a pu être récupérée
sur Internet.

Pour information Fnac.com ne vous demandera jamais la communication
d'identifiant, mot de passe ou numéro de cartes bancaires pour annuler
une commande :

Si vous avez reçu un tel email :
- n'ouvrez pas les pièces jointes
- ne cliquez pas sur les liens
- ne répondez pas à cet email
- supprimez le message et videz votre corbeille

Si vous avez communiqué des informations telles que :
- identifiants ou mot de passe, il convient de modifier immédiatement
votre mot de passe.
- vos coordonnées bancaires, il est nécessaire de contacter rapidement
votre banque afin de faire opposition à votre carte bancaire

Nous prenons ce sujet très au sérieux et faisons tout notre possible
pour empêcher l'envoi de ces emails frauduleux et assurer votre
sécurité.

Pour aller plus loin
Voir notre page sécurité avec des exemples pour reconnaître le phishing

Plus d'infos sur Cybermalveillance.gouv.fr.
L'Equipe Fnac
--
Un ordinateur résout des problèmes que nous n'aurions pas sans lui
Technique aéronautique : http://aviatechno.net

9 réponses

Avatar
Olivier Miakinen
Bonjour,
Le 04/10/2018 17:17, Otomatic a écrit :
Reçu courriel alertant sur des tentatives de phishing FNAC.

Je n'arrive pas à comprendre si tu nous indiques juste que la FNAC
t'a prévenu de tentatives de phishing, ou si tu soupçonnes que ledit
courriel soit lui-même une tentative de phishing.
Belle tentative, bien rédigé, pas de fautes (Voir ci-dessous) mais...
- Tous les liens, censés pointer vers des “trucs” différents, sont
stricto sensu identiques,
- Ils commencent tous par (http supprimé) :
eultech.fnac.com/dynclick/fnac/

Cette URL redirige vers https://www.fnac.com/, elle appartient au nom
de domaine fnac.com, et le nom dynclick me fait penser que c'est juste
un moyen de compter le nombre de clics générés par ce courriel qui
redirigent vers le site (par opposition aux gens qui vont sur le site
en tapant directement l'adresse ou via un moteur de recherche).
même celui censé pointer sur gouv.fr

Ah, tu veux dire Cybermalveillance.gouv.fr ? C'est peut-être une
erreur ? Ou alors l'URL complète envoie vers une page qui elle-même
pointe vers ce site ? Bon, c'est peut-être aussi que celui qui a
rédigé le courriel ne voulait pas manquer une occasion de faire
des clics vers la page principale du site marchand.
Mais je ne vois pas en quoi ce serait dangereux pour celui qui clique.
De plus, le site de la FNAC est en https, pas en http.

La redirection envoie vers une URL en https.
--
Olivier Miakinen
Avatar
Otomatic
Olivier Miakinen <om+ écrivait :
Je n'arrive pas à comprendre si tu nous indiques juste que la FNAC
t'a prévenu de tentatives de phishing, ou si tu soupçonnes que ledit
courriel soit lui-même une tentative de phishing.

Je soupçonne ce courriel d'être une tentative de phishing.
Les liens devraient m'envoyer directement sur https://fnac.com/.......
pas sur une redirection alacon dont je ne sais pas où ça va aller et
celui qui parle de gouv.fr, sur gouv.fr.
Et cinq liens strictement identiques pour cinq options différentes,
c'est poubelle d'office sans chercher plus loin.
--
Ce n'est pas parce qu'ils sont nombreux à avoir tort
qu'ils ont forcément raison. Coluche
Avatar
Olivier Miakinen
Le 04/10/2018 19:13, Otomatic a écrit :
Je n'arrive pas à comprendre si tu nous indiques juste que la FNAC
t'a prévenu de tentatives de phishing, ou si tu soupçonnes que ledit
courriel soit lui-même une tentative de phishing.

Je soupçonne ce courriel d'être une tentative de phishing.

C'est ce que je n'ai pas compris. Qu'est-ce que l'émetteur de ce
courriel pourrait espérer gagner si tu avais cliqué sur l'un des
liens ? Sans compter que l'émetteur en question est forcément la
FNAC elle-même puisque c'est une URL dans le domaine fnac.com.
Les liens devraient m'envoyer directement sur https://fnac.com/.......

C'est un lien en http://eultech.fnac.com/. Vu que tu n'as pas encore
saisi d'informations personnelles en cliquant dessus, le fait qu'il
soit en http plutôt qu'en https n'a aucune importance, d'autant qu'il
redirige immédiatement vers https://fnac.com
Soit dit en passant, dans mon historique de navigation j'ai des tas
de liens http://eultech.fnac.com/, qui redirigent vers des résultats
de recherche que j'ai faits sur le site de la FNAC (et qui se retrouvent
tous en https après redirection).
[...]
c'est poubelle d'office sans chercher plus loin.

Aucun problème avec ça. De toute façon, vu ta réaction, ça veut dire
que tu n'as pas besoin d'aller sur la page qui expliquait le phishing,
puisque tu me sembles déjà immunisé contre le vrai phishing !
--
Ce n'est pas parce qu'ils sont nombreux à avoir tort
qu'ils ont forcément raison. Coluche

Tiens ? Ce n'est pas une signature parce qu'il manque l'espace après les
deux tirets. Tu ne peux pas en mettre une dans ForteAgent ?
--
Olivier Miakinen
Avatar
Otomatic
Olivier Miakinen <om+ écrivait :
--
Ce n'est pas parce qu'ils sont nombreux à avoir tort
qu'ils ont forcément raison. Coluche

Tiens ? Ce n'est pas une signature parce qu'il manque l'espace après les
deux tirets. Tu ne peux pas en mettre une dans ForteAgent ?

J'en suis tout ébaubi !
Je viens d'aller voir dans l'option Signature d'Agent et toutes les
espaces après les -- avaient été sucrées — par quoi ? — mystère et boule
de gomme !
Je vais aller voir dans agent.ini s'il n'y aurait pas une option
possible : before_signature="-- n"
--
Un ordinateur résout des problèmes que nous n'aurions pas sans lui
Technique aéronautique : http://aviatechno.net
Avatar
Eric Giffard
Otomatic a présenté l'énoncé suivant :
Bonjour,
Reçu courriel alertant sur des tentatives de phishing FNAC.
Belle tentative, bien rédigé, pas de fautes (Voir ci-dessous) mais...
- Tous les liens, censés pointer vers des “trucs” différents, sont
stricto sensu identiques,
- Ils commencent tous par (http supprimé) :
eultech.fnac.com/dynclick/fnac/
même celui censé pointer sur gouv.fr
De plus, le site de la FNAC est en https, pas en http.
-----------------------------------------------
Bonjour,
A titre préventif, nous tenons à vous informer que de nombreux emails
qui circulent en ce moment constituent des tentatives d'hameçonnage, dit
de " Phishing ".
Ces emails reprennent à des fins frauduleuses la charte graphique et le
logo de notre enseigne.
Ils tentent de bénéficier de la notoriété de la FNAC pour récupérer vos
informations confidentielles et notamment vos données de cartes
bancaires.
Nous tenons à préciser qu'après analyse, les données utilisées dans ces
emails ne proviennent pas de fuites de données de nos systèmes
d'information.
Ainsi si votre adresse figure dans le faux récapitulatif de commande,
elle ne provient pas d'une faille de notre site mais a pu être récupérée
sur Internet.
Pour information Fnac.com ne vous demandera jamais la communication
d'identifiant, mot de passe ou numéro de cartes bancaires pour annuler
une commande :
Si vous avez reçu un tel email :
- n'ouvrez pas les pièces jointes
- ne cliquez pas sur les liens
- ne répondez pas à cet email
- supprimez le message et videz votre corbeille
Si vous avez communiqué des informations telles que :
- identifiants ou mot de passe, il convient de modifier immédiatement
votre mot de passe.
- vos coordonnées bancaires, il est nécessaire de contacter rapidement
votre banque afin de faire opposition à votre carte bancaire
Nous prenons ce sujet très au sérieux et faisons tout notre possible
pour empêcher l'envoi de ces emails frauduleux et assurer votre
sécurité.
Pour aller plus loin
Voir notre page sécurité avec des exemples pour reconnaître le phishing
Plus d'infos sur Cybermalveillance.gouv.fr.
L'Equipe Fnac

J'ai exactement le même mail mais en provenance de Darty !
Avatar
Eric Demeester
Bonjour,
Eric Giffard (Fri, 05 Oct 2018 07:46:51 +0200 - fr.comp.securite) :
Otomatic a présenté l'énoncé suivant :
Reçu courriel alertant sur des tentatives de phishing FNAC.

J'ai exactement le même mail mais en provenance de Darty !

Moi aussi, il y a une certaine logique puisqu'il les deux enseignes
appartiennent à la même entreprise.
Pour répondre à Automatic, il s'agit bien de messages légitimes
provenant de ces entreprises.
Ça n'a pas empêché le message de tomber dans ma boîte à spam, comme 99%
de ceux émis par les entreprises, les institutionnels et les nuisibles à
des fins de communication avec le grand public, et c'est très bien comme
ça :)
Avatar
Otomatic
Eric Demeester écrivait :
Pour répondre à Automatic, il s'agit bien de messages légitimes
provenant de ces entreprises.

Sans doute, mais extrêmement mal conçu pour un message voulant prévenir
de tentatives d'hameçonnage dit " Phishing "
Dans ce cas, le message devrait être très simple et ne pas être rempli
de trucs alacon genre redirection, dynclick et autres codages des url.
Il ne devrait comporter qu'un seul lien clair et sans ambiguïté sur la
page donnant plus d'explication, du style
https://www.fnac.com/alerte-phishing
libre ensuite à la FNAC d'effectuer de la réécriture d'url.
Dans ce cas, ça serait crédible.
--
Un ordinateur résout des problèmes que nous n'aurions pas sans lui
Technique aéronautique : http://aviatechno.net
Avatar
Eric Demeester
Bonjour,
Otomatic (Fri, 05 Oct 2018 10:21:48 +0200 - fr.comp.securite) :
Eric Demeester écrivait :
Pour répondre à Automatic, il s'agit bien de messages légitimes
provenant de ces entreprises.

Sans doute, mais extrêmement mal conçu pour un message voulant prévenir
de tentatives d'hameçonnage dit " Phishing "

C'est le cas, pour reprendre ce que j'écrivais, de 99%
des emails émis par les entreprises, les institutionnels et les
nuisibles à des fins de communication avec le grand public.
Un exemple au hasard, les messages de ma banque m'annonçant la
disponibilté de mes relevés de comptes sont considérés comme du SPAM par
SpamAssassin, parce qu'ils semblent avoir transité par la Chine pour me
parvenir.
L'explication, quand on analyse les en-têtes, est que ma banque utilise
sur son réseau interne une classe d'adresses IP routables attribuées à
la Chine, au lieu d'utilises une classe d'IP faites pour ça comme par
exemple 192.168.xxx.yyy.
Avatar
Otomatic
Eric Demeester écrivait :
C'est le cas, pour reprendre ce que j'écrivais, de 99%
des emails émis par les entreprises, les institutionnels et les
nuisibles à des fins de communication avec le grand public.

Reçu ce matin un courriel de Gandi m'avisant de :
« Une vaste campagne d'hameçonnage... »
- Texte pur, sans html, sans grigri,
- Un seul lien en clair, simple, vrai, sans trucs alacon.
Voilà ce qu'il faudrait que fasse tous ceux qui envoient des alertes de
sécurité.