Comment éviter de se faire arnaquer...

Comment savoir si un email reçu
est une tentative de phishing ?

Ahhh, vaste question, comment apprendre à se prémunir des arnaques sur le Net.

Souvent, bien des gens utilisent internet – parce qu’ils en ont le droit – sans se pré-occuper des devoirs,
et autres apprentissages, avant de se lancer dans un monde qui peut vite devenir cruel…

1- ÉTUDE D’UN LIEN URL PROPOSÉ DANS UN MAIL

1) Laisser votre souris posée au-dessus du lien proposé

Nb : vous verrez alors apparaitre la véritable adresse

Comme sur l’Url indiquée ci-dessous (bloquer mon email).

Notez que dans cet exemple, on aurait tendance à vouloir cliquer pour s’en débarrasser…

Donc, même si vous voyez (par ex) https://www.ovh.com/fr/et-ainsi-de-suite

Il faut regarder le véritable lien Url qui se cache dessous.

Démonstration en vidéo, avec OVH, cible privilégiée des hackers

2 – SIGNALER À PHISHING INITIATIVE

– Copier le lien de l’Url qui tente de vous arnaquer (Control + C sur PC, Command + C sur Mac)

– Aller sur phishing-initiative.fr

– Coller ce lien (Control + V sur PC, Command + V sur Mac)

– Mettre un commentaire éventuel

– Renseigner le ReCaptcha (Je ne suis pas un robot)

– Cliquer sur « Signaler » 

Sur l’exemple ci-dessous, c’est une signalisation que j’ai faite pour un Phishing tentant de se faire passer pour les Impots

(avec un crédit d’impôt à réclamer, ben voyons…)

On voit bien que violavacanze n’a rien à voir avec les impots.

Là, vous verrez si l’Url a déjà été signalée.

NB : Elle sera alors signalée, si elle ne l’était pas déjà, et c’est très bien

3 – COMMENT CES TYPES S’Y PRENNENT-ILS ?

3) Pour ceux qui veulent savoir comment ces types font cela
mieux comprendre pour mieux se défendre

 

Ils ciblent un site peu/mal protégé, y incorpore un dossier supplémentaire.

Dans l’exemple ci-dessous, le dossier = TEJSHJ7410. Dans ce dossier, une Url est placée, qui redirige l’action vers un autre site lui aussi infecté, etc. Ce qui brouille les pistes.

J’ai des outils qui permettent de vérifier et remonter les pistes, jusqu’à trouver les adresses IP, les propriétaires (infectés) etc.

Il faudrait même avertir le « vrai » site, qu’il est infecté…

 

Prenons l’exemple de tentative de phishing pour OVH :

L’adresse fallacieuse est sur cet exemple : http://www.marineleather.it/TEJSHJ7410 (même pas en https)

Nb : vous pouvez cliquer juste pour voir, mais sans aller plus loin que ce premier clic.

Pour info, le Vrai site = www.marineleather.it

 

Celle-ci renvoyait sur une agence : https://www.gmreagency.it, mais avec un dossier interne supplémentaire et lui aussi infecté.

Et ainsi de suite… et patatras…

Nb : Rappelons, qu’il faut aussi noter sa date échéance OVH, car si on reçoit un mail en décembre,
alors que l’anniversaire est en juin, déjà, c’est plus que douteux…

 

 

Nb : Sur mon Mac, j’ai acheté une protection Bit Defender, et voici ce qu’il m’est dit si je clique sur www.marineleather.it/TEJSHJ7410

4 – WHAOUHHH, UN MAIL OVH DE TOUTE BEAUTÉ
UN CAS D’ÉCOLE !

Voici un mail reçu par plusieurs de mes clients, début décembre 2019.

phishing-04-mail-recu-1er
En survolant le lien proposé pour réactiver, avec la souris maintenue sur le lien, cela donne ceci :

Il y a donc OVH dedans… c’est trompeur…

On voit que le nom de domaine de départ est :
namastedelalma.net
Nb : Les « dossiers » avant, paiement.ovh.fr, sont des sous dossiers de domaine.

Vous pourriez le faire avec votre nom de domaine, genre : https://tralala.mondomaine.fr
Où en fait, « tralala » est un peu comme « la cave » du nom de domaine, c’est à dire un niveau -1

Tout le reste (suite de chiffres et lettres) c’est du baratin, pour faire comme une chaine (cookie) générée automatiquement.

Puis, ensuite, le lien renvoie sur une Url d’une page qui ressemble à s’y méprendre à la page de paiement d’OVH (voir capture d’écran ci-contre).

Enfin, pas tout à fait, car une page de paiement d’OVH comprend plus (vos) d’infos (vos coordonnées, commande, etc.).
Donc là on arrive SEULEMENT à une page de paiement en ligne par CB…
 
Le lien Url de paiement du bouton PAYER est celui-ci:
https://moncompte.aliosinvestimenti.com/ovh
Donc, il s’agit d’un gars qui a un compte chez aliosinvestimenti.com et qui a appelé son compte « ovh »…
Pas mal imaginé, ça brouille vraiment les pistes pour un oeil non averti, puisqu’à un moment, on retrouve bien le mot ovh dans le paiement.
Si vous cliquez sur le bouton Payer, le gars se récolte 5€, multiplié par xxxx victimes, ça peut être intéressant.

Nb : Et encore que, rien n’affirme que le montant débité ne sera “que” de 5€…

Alors, comme d’hab, mon premier réflexe a été de les envoyer lire cette page (qui n’était pas encore enrichie de ce cas of course). 

Mais un de mes clients, m’a signalé qu’à plusieurs reprises, on voyait le mot ovh apparaitre, et surtout, l’adresse mail support@ovhcloud.com


J’ai donc étudié plus avant le code d’envoi du mail (image ci-contre).

Bien entendu, j’ai changé le nom de l’adresse mail attaquée, en « victime ».


Dans la partie « Received », on voit (stabilotée en jaune) l’IP : 195.154.60.224 (mta.imero.it)
Alors que l’expéditeur semble pourtant être : support@ovhcoud.com en début du code…

Nb : On peut s’accaparer des adresses mail avec de l’expérience… y’a même des magazines pour apprendre à faire ça… 

 
 

Donc, si l’on cherche l’adresse IP 195.154.60.224, grâce à ce site : https://www.hostip.fr/, on obtient ceci (voir ci-contre).

Cette IP appartient à (host) : rev.ponytelecom.eu


On y voit que le message a été envoyé de Strasbourg, cela aurait pu être n’importe quelle partie du monde.
Nota : Les autres adresses IP de ce mail, donnent toutes : adresse inconnue. Ce sont des IP relais pour brouiller les pistes.

Seule est importante, la ligne : Received: from mta35.imero.it (unknown [195.154.60.224])
 
Après recherche (entre autres) on nous alerte concernant cette IP, via ce lien (sous Chrome pour le traduire de l’anglais le cas échéant), comme quoi, de cette IP émane de nombreuses tentatives de hack
Montant de l’arnaque :
Le montant d’arnaque de tous ces mails est de 5€
Qu’est-ce qu’on a pour 5€ chez OVH…. ???
Du coup les victimes ne porteront pas plainte pour 5€
 
Bien monté ce coup là, un des meilleurs à ce jour !
On peut à tout le moins, le féliciter.

Phishing OVH : Variante, reçue le 16/12/2019

Plusieurs de mes clients (y compris moi) viennent de recevoir une autre tentative de phishing.

Les escrocs ont dû s’apercevoir que de toujours utiliser le même serveur, le même montant, etc., n’était pas crédible.
Peut-être même, ont-ils lu mon explication, ce qui les a poussé à modifier le mail…

Capture 1 : On voit qu’un nouveau serveur apparait : https://globalservicesas.com (et non plus, andreoni.pro)
– Dans la zone expéditeur du mail, on voit : support@ovhcloud.com (ainsi que dans la zone : répondre à).
Sachez que ce qui est visible (si = réellement Ovh) = OVHcloud.com (depuis leur changement de nom).
– Dans la phrase “Pour le réactiver…”, il est écrit “et dutiliser la commande”, alors que cela aurait dû être “d’utiliser la commande” (d apostrophe u).
– On remarquera également sur cette capture, que tous les mots commençant par la lettre “q”, ont cette lettre “q” écrite en italique (???)
– Autre remarque, dans la phrase “Si non le bon de commande…”, devrait s’écrire “Sinon le bon de commande…”.
– Dans la phrase “le nom pourrait être DEFINITIVEMENT effacé”, Ovh écrirait “DÉFINITIVEMENT”.  Les majuscules devant également s’accentuer (Typo française). 
Capture 2 : On s’aperçoit qu’ils ont même imité la page “loader” d’Ovh, mais, le loader (le rond qui tourne) est plus petit que l’original.
Capture 3 : Loader original chez Ovh
Capture 4 : On voit qu’ils ont modifié le montant en 16,59€… plus plausible avec une dette Ovh, que les 5€ précédents…
Nb : Et encore que, rien n’affirme que le montant débité ne sera “que” de 16,59€…

Mais toujours aussi bien fait (à quelques détail près)

Moralité, pour savoir si un mail émane bien d’OVH, mieux vaut se rendre sur son espace client,
et vérifier ses “Services” (Services, dates échéances, etc.) !

 

Quant aux emails provenant d’autres sources, une étude (lecture) détaillée de l’émail en question, permet souvent de détecter des “fotes de français”, et/ou de typographie. Ce qui détermine le côté douteux de son émission. 

4 commentaires

  1. Alors que chacun sait que pour conduire une voiture il lui faudra d’abord obtenir, l’examen de code, puis l’examen de conduite, en ce qui concerne l’internet, n’importe qui peut surfer de suite, sans avoir aucune notion des dangers qui l’attendent…
    Cet article donne quelques clés de défense.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée Champs requis marqués avec *

Publier des commentaires

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.