Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Attaque de Phishing Orange : La barre est haute

Attaque de Phishing Orange : La barre est haute
2009-10-192013-02-11sécurité du poste de travailfr
Les attaques visant les clients d'Orange sont légion : Les attaques sont quasi quotidiennes et se renouvèlent sans cesse. Si je reprends ma plume sur le sujet c'est que j'ai pu constater que celles-ci s'améliorent sans cesse : Nous sommes passés de messages à l'orthographe ou à la...
Publié le 19 Octobre 2009 par Jean-François Audenard dans sécurité du poste de travail
Les attaques visant les clients d'Orange sont légion : Les attaques sont quasi quotidiennes et se renouvèlent sans cesse. Si je reprends ma plume sur le sujet c'est que j'ai pu constater que celles-ci s'améliorent sans cesse : Nous sommes passés de messages à l'orthographe ou à la grammaire très approximative à des attaques de qualité pleinement professionnelles.

C'est le cas de l'attaque qui a été portée à mon attention ce Lundi 19 Octobre 2009.

Comme d'habitude, tout commence par un mail qui arrive dans la boite de réception d'une personne possédant une adresse email en @orange.fr.

Le mail de phishing est assez classique. Il reste simple et clair. Il n'est pas truffé de fautes d'orthographes ni d'erreurs typographiques : A la lecture d'un tel message, il y a fort à parier que nombre de personnes vont faire le pas et cliquer sur le client indiqué. Bien évidemment, le lien donné est un leurre : On ne retrouve pas sur un site dont l'url commence par  http://verification.orange.fr/... mais quelque chose de bien différent. dans le cas présent on arrive sur un site hébergé derrière un nom de domaine qui n'a rien à voir hormis qu'il se termine en ".fr".


Le site de phishing est d'un réalisme et d'une finition exemplaire : La charte graphique est impeccablement respectée, les images sont celles d'origine, aucune faute d'orthographe, tout est prêt pour que l'utilisateur soit en confiance. Il y a même l'animation Flash "La photo mystère" pour un "polish final" impeccable.

L'attaquant est plutôt gourmand en terme d'informations personnelles : Nom, prénom, adresse,  numéro de téléphone, date de naissance, email et mot de passe associé,  numéro et type de carte bancaire, date d'expiration et cryptogramme de celle-ci. Le formulaire est si grand qu'un seul et unique screenshot n'a pas suffit : Je vous le livre donc en deux parties.

PhishingOrange-19octobre2008_PhishingSite_1.jpg

PhishingOrange-19octobre2008_PhishingSite_2.jpg
On pourra noter la mention "débit à l'expédition de la commande" et les informations sur la technologie de cryptage SSL : Tout est fait pour rassurer l'utilisateur.

Le piège est redoutable: Hormis le fait que l'attaquant est peut-être un peu trop gourmand en informations, de nombreuses personnes vont tomber dans le panneau et livrer leurs informations personnelles sans se douter du danger.

Recommandations
Si il advenait que vous soyez (ou l'un de vos proches ou collègue) tombé dans le panneau, réagissez rapidement :
1) Contacter votre banque et faites opposition afin de vous protéger contre l'utilisation frauduleuse de votre carte bancaire
2) Changez vos identifiants de connexion ou contactez le support technique Orange pour changer votre mot de passe.
3) Déposez plainte auprès des forces de l'ordre.

Cette analyse n'est pas finie : J'ai poussé les investigations un peu plus loin et j'ai découvert d'autres choses fort intéressantes qui nous en disent plus long sur le niveau de professionnalisme des personnes qui sont derrière ces attaques. Mais ce sera pour un prochain bulletin !

6 Commentaires

  • 16 Novembre 2009
    2009-11-16
    par
    Merci pour ce feedback : Je suis en phase avec vous sur ces détails qui sauteront aux yeux des personnes les plus attentives. Malheureusement, j'aurai tendance à dire que de (trop) nombreuses personnes ne les relèveront pas... Encore merci de votre retour et bonne semaine. Cordialement.
    JF.
  • 16 Novembre 2009
    2009-11-16
    par
    J.P. Petitbon
    En réponse à l'article " Attaque de phishing : la barre est haute " :

    Vous écrivez, entre autre " ... aucune faute d'orthographe...".

    En réalité des erreurs élémentaires sautent aux yeux qu'il est
    impensable qu'Orange ait pu commettre :
    - manque d'accents aigus ( credit, reserves, verification) ou grave (a)
    - faute de français : obligeance pour obligation
    - omission de mot : ... ainsi que ( celle) de votre... ...suite (à) la vérification
    - de ponctuation signe "=" non justifié.

    Tant de fautes pour un texte si court !

    Personnellement je n'ai JAMAIS lu un texte de " scam" SANS fautes
    grossières.

    A ces petits escrocs, les subtilités de l'informatique doivent être plus familières que celles de la langue française !
  • 21 Octobre 2009
    2009-11-16
    par
    Je suis en phase : Dans ce genre de situation, il vaut mieux être trop méfiant que pas assez :-) Sans un système de vérification de l'identité de l'émetteur la question se pose. Des choses cependant intéressantes coté DKIM par exemple (Authentification des emails : De SPF à DKIM en passant par SenderID, 16 Septembre 2009)
  • 21 Octobre 2009
    2009-11-16
    par
    Jean-Sébastien H.
    Effectivement, les liens présents *.pjms.fr et *.wd-server.net sont, en recherchant dans les bases de données whois, liés à des services de marketing en ligne.

    J'ai tendance à "surréargir" quand je reçois mail étiqueté SocietéX ne contenant aucun lien vers *.SocietéX .tld dans son contenu.

    Les services de prospections par email devraient faire attention...

    D'autant plus que dans ce cas, l'expéditeur ("Enews relation client") n'est clairement pas indiqué correctement.
  • 21 Octobre 2009
    2009-11-16
    par
    Je ne suis pas convaincu que ce soit une attaque de phishing. Cela ressemble plus à un mail de prospection commerciale/publicité.
    En effet, aucune action ni info personnelle n'est visiblement demandée à l'utilisateur.
    Pour ce qui est de l'expéditeur pjms.fr, cela correspond au service de prospection marketing des PagesJaunes (http://www.pagesjaunes-marketingservices.com/).
    Reste à confirmer/infirmer cela au vu des liens présents dans le message : Avec un screenshot c'est difficile d'aller plus loin.
    Slts,
    JF.

Pages

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage