Comment éviter de se faire arnaquer...
est une tentative de phishing ?
Ahhh, vaste question, comment apprendre à se prémunir des arnaques sur le Net.
Souvent, bien des gens utilisent internet – parce qu’ils en ont le droit – sans se pré-occuper des devoirs,
et autres apprentissages, avant de se lancer dans un monde qui peut vite devenir cruel…
1- ÉTUDE D’UN LIEN URL PROPOSÉ DANS UN MAIL
1) Laisser votre souris posée au-dessus du lien proposé
Nb : vous verrez alors apparaitre la véritable adresse
Comme sur l’Url indiquée ci-dessous (bloquer mon email).
Notez que dans cet exemple, on aurait tendance à vouloir cliquer pour s’en débarrasser…
Donc, même si vous voyez (par ex) https://www.ovh.com/fr/et-ainsi-de-suite
Il faut regarder le véritable lien Url qui se cache dessous.
Démonstration en vidéo, avec OVH, cible privilégiée des hackers
2 – SIGNALER À PHISHING INITIATIVE
– Copier le lien de l’Url qui tente de vous arnaquer (Control + C sur PC, Command + C sur Mac)
– Aller sur phishing-initiative.fr
– Coller ce lien (Control + V sur PC, Command + V sur Mac)
– Mettre un commentaire éventuel
– Renseigner le ReCaptcha (Je ne suis pas un robot)
– Cliquer sur « Signaler »
Sur l’exemple ci-dessous, c’est une signalisation que j’ai faite pour un Phishing tentant de se faire passer pour les Impots
(avec un crédit d’impôt à réclamer, ben voyons…)
On voit bien que violavacanze n’a rien à voir avec les impots.
Là, vous verrez si l’Url a déjà été signalée.
NB : Elle sera alors signalée, si elle ne l’était pas déjà, et c’est très bien
3 – COMMENT CES TYPES S’Y PRENNENT-ILS ?
3) Pour ceux qui veulent savoir comment ces types font cela
mieux comprendre pour mieux se défendre
Ils ciblent un site peu/mal protégé, y incorpore un dossier supplémentaire.
Dans l’exemple ci-dessous, le dossier = TEJSHJ7410. Dans ce dossier, une Url est placée, qui redirige l’action vers un autre site lui aussi infecté, etc. Ce qui brouille les pistes.
J’ai des outils qui permettent de vérifier et remonter les pistes, jusqu’à trouver les adresses IP, les propriétaires (infectés) etc.
Il faudrait même avertir le « vrai » site, qu’il est infecté…
Prenons l’exemple de tentative de phishing pour OVH :
L’adresse fallacieuse est sur cet exemple : http://www.marineleather.it/TEJSHJ7410 (même pas en https)
Nb : vous pouvez cliquer juste pour voir, mais sans aller plus loin que ce premier clic.
Pour info, le Vrai site = www.marineleather.it
Celle-ci renvoyait sur une agence : https://www.gmreagency.it, mais avec un dossier interne supplémentaire et lui aussi infecté.
Et ainsi de suite… et patatras…
Nb : Rappelons, qu’il faut aussi noter sa date échéance OVH, car si on reçoit un mail en décembre,
alors que l’anniversaire est en juin, déjà, c’est plus que douteux…
Nb : Sur mon Mac, j’ai acheté une protection Bit Defender, et voici ce qu’il m’est dit si je clique sur www.marineleather.it/TEJSHJ7410
4 – WHAOUHHH, UN MAIL OVH DE TOUTE BEAUTÉ
UN CAS D’ÉCOLE !
Voici un mail reçu par plusieurs de mes clients, début décembre 2019.
Il y a donc OVH dedans… c’est trompeur…
On voit que le nom de domaine de départ est :
namastedelalma.net
Nb : Les « dossiers » avant, paiement.ovh.fr, sont des sous dossiers de domaine.
Tout le reste (suite de chiffres et lettres) c’est du baratin, pour faire comme une chaine (cookie) générée automatiquement.
Puis, ensuite, le lien renvoie sur une Url d’une page qui ressemble à s’y méprendre à la page de paiement d’OVH (voir capture d’écran ci-contre).
https://moncompte.aliosinvestimenti.com/ovh
Nb : Et encore que, rien n’affirme que le montant débité ne sera « que » de 5€…
Alors, comme d’hab, mon premier réflexe a été de les envoyer lire cette page (qui n’était pas encore enrichie de ce cas of course).
Mais un de mes clients, m’a signalé qu’à plusieurs reprises, on voyait le mot ovh apparaitre, et surtout, l’adresse mail support@ovhcloud.com
J’ai donc étudié plus avant le code d’envoi du mail (image ci-contre).
Bien entendu, j’ai changé le nom de l’adresse mail attaquée, en « victime ».
Dans la partie « Received », on voit (stabilotée en jaune) l’IP : 195.154.60.224 (mta.imero.it)
Nb : On peut s’accaparer des adresses mail avec de l’expérience… y’a même des magazines pour apprendre à faire ça…
Donc, si l’on cherche l’adresse IP 195.154.60.224, grâce à ce site : https://www.hostip.fr/, on obtient ceci (voir ci-contre).
Cette IP appartient à (host) : rev.ponytelecom.eu
On y voit que le message a été envoyé de Strasbourg, cela aurait pu être n’importe quelle partie du monde.
Seule est importante, la ligne : Received: from mta35.imero.it (unknown [195.154.60.224])
Le montant qui sera débité sera bien supérieur (centaines d’euros)
Phishing OVH : Variante, reçue le 16/12/2019
Plusieurs de mes clients (y compris moi) viennent de recevoir une autre tentative de phishing.
Les escrocs ont dû s’apercevoir que de toujours utiliser le même serveur, le même montant, etc., n’était pas crédible.
Peut-être même, ont-ils lu mon explication, ce qui les a poussé à modifier le mail…
Capture 1 : On voit qu’un nouveau serveur apparait : https://globalservicesas.com (et non plus, andreoni.pro)
– Dans la zone expéditeur du mail, on voit : support@ovhcloud.com (ainsi que dans la zone : répondre à).
Sachez que ce qui est visible (si = réellement Ovh) = OVHcloud.com (depuis leur changement de nom).
– Dans la phrase « Pour le réactiver… », il est écrit « et dutiliser la commande », alors que cela aurait dû être « d’utiliser la commande » (d apostrophe u).
– On remarquera également sur cette capture, que tous les mots commençant par la lettre « q », ont cette lettre « q » écrite en italique (???)
– Autre remarque, dans la phrase « Si non le bon de commande… », devrait s’écrire « Sinon le bon de commande… ».
– Dans la phrase « le nom pourrait être DEFINITIVEMENT effacé », Ovh écrirait « DÉFINITIVEMENT ». Les majuscules devant également s’accentuer (Typo française).
Capture 2 : On s’aperçoit qu’ils ont même imité la page « loader » d’Ovh, mais, le loader (le rond qui tourne) est plus petit que l’original.
Capture 3 : Loader original chez Ovh
Capture 4 : On voit qu’ils ont modifié le montant en 16,59€… plus plausible avec une dette Ovh, que les 5€ précédents…
Nb : Et encore que, rien n’affirme que le montant débité ne sera « que » de 16,59€… le montant qui sera débité sera bien supérieur (centaines d’euros)
Mais toujours aussi bien fait (à quelques détail près)
-
- capture1
-
- capture2
-
- capture3
-
- capture4
Moralité, pour savoir si un mail émane bien d’OVH, mieux vaut se rendre sur son espace client,
et vérifier ses « Services » (Services, dates échéances, etc.) !
Quant aux emails provenant d’autres sources, une étude (lecture) détaillée de l’émail en question, permet souvent de détecter des « fotes de français », et/ou de typographie. Ce qui détermine le côté douteux de son émission.
Alors que chacun sait que pour conduire une voiture il lui faudra d’abord obtenir, l’examen de code, puis l’examen de conduite, en ce qui concerne l’internet, n’importe qui peut surfer de suite, sans avoir aucune notion des dangers qui l’attendent…
Cet article donne quelques clés de défense.
Merci à Pictopagina – avec cet article – de m’avoir évité une arnaque de 16.59€
Heureusement Pictopagina veille ;-)…. Beau travail et merci pour les explications. Bonnes fetes.
Et oui,ils deviennent de plus en plus malins.Merci encore pour votre éclairage toujours très utile .