le phishing aux impôts : autopsie d'un spam

Septembre, c’est la période d’envoi des courriers de rappel pour le 3ème tiers d’impôt sur le revenu. C’est également l’occasion rêvée pour les pirates informatiques de vous hameçonner. Objectif : voler vos données bancaires grâce à des emails imitant ceux de l’administration fiscale. Décryptage d’une tentative de phishing.

La plupart du temps, une simple dose de bon sens et de vigilance suffisent à détecter les tentatives d’hameçonnage. Examinons de près le cas d’un email censé vous informer d’un remboursement d’impôt en votre faveur. Le but ? Obtenir votre numéro de carte bancaire.

aucun système de protection n’est infaillible

Même si l’anti-spam constitue une première protection, sachez que les filtres de boîtes email ne suffisent pas toujours à vous protéger des tentatives de phishing.

Si un courriel frauduleux arrive dans votre messagerie, la mauvaise qualité de son style, son orthographe, sa syntaxe constituent bien souvent une première alerte, comme le montre la capture ci-dessous.

 

 

Analyse du message

L’analyse du message offre une protection supplémentaire. Pour cela, il faut se poser différentes questions.
 

  1. D’où vient-il ?
    Un affichage de l’en-tête du message peut vous renseigner.


 


Dans notre  exemple, l’examen du domaine de l’expéditeur permet de constater que le domaine de messagerie n’est pas situé en France. Peu de chances que le message soit émis par Bercy ! Mais peut-être vous en doutiez-vous ?

  1. le corps du message

Dans le cas présent, le pirate a poussé le vice jusqu’à reprendre scrupuleusement la charte graphique de l’administration. Mais grâce à votre œil de lynx, vous ne tombez pas dans le piège et plusieurs éléments du message continuent de vous alerter :

  • L’objet du mail est en majuscule pour attirer votre attention. Sauf qu’on envoie rarement des emails avec une entête en majuscule, n’est-ce pas ? Notez au passage la faute de frappe : « \ » devant l’apostrophe. Ce seul détail suffit à disqualifier l’email.
     
  • N’oublions pas non plus les coquilles et les fautes de syntaxe : « Après les derniers calculs annuels de l’exercice de votre activité, Nous avons déterminé que vous êtes admissible à recevoir une remboursement d’impôt ».

Pensez-vous vraiment que l’administration fiscale ne maîtrise pas l’orthographe ? De telles erreurs grossières sentent la tentative d’hameçonnage à 100 mètres. Mais ça, bien sûr, vous vous en doutiez !

la redirection vers le site de phishing

Allons plus loin et intéressons-nous au lien URL. Même s’il contient des mots bizarres comme « charpente », la présence des mots « finance.gouv.fr » peuvent induire certains d’entre vous en erreur.

Face à ce type d’URL douteuse, faites toujours un clic droit. Vous ferez alors apparaître une URL cachée. Copiez-la dans un traitement de texte et vous aboutirez à ceci :

En gras, apparait  l’URL d’un site web corrompu, situé en Belgique, dont j’ai volontairement caché le nom. Notez au passage la mention des Google AddServices qui redirige en plus vers un site hébergé aux USA.

Vous voulez savoir qui se cache derrière cette tentative grossière d’exhortions de vos économies ? Connaissez-vous les Whois ? Ce service en ligne vous renseignera sur les propriétaires et hébergeurs des sites en question.

Un coup d’œil sur les statistiques de fréquentation du site, avec SenderBase par exemple, montre que sa fréquentation a explosé dans les deux jours qui ont précédé la réception du spam. Indice supplémentaire de la compromission du site belge !

Le site de phishing, situé aux Etats-Unis, est une copie quasi conforme du site des impôts. Une erreur tout de même par rapport à l’original : la mention « 2014 » apparait à deux reprises dans la signature en bas de page.
 

Tentons l’aventure jusqu’au bout en tapant un faux numéro fiscal. Après validation nous visitons une vraie-fausse page reprenant  la charte graphique du site des impôts.

La base de données de l’administration n’a pas été compromise à ma connaissance. Il est possible de taper n’importe quels caractères dans le champ dédié au numéro fiscal car Il n’y a aucun contrôle sur la validité des données. Il suffit de taper 13 chiffres pour le numéro fiscal et 8 caractères dont un caractère spécial pour le mot de passe.

Et voici le GRAAL une fois que vous avez validé votre demande de remboursement
On vous demande finalement le numéro de votre carte bancaire ainsi que le cryptogramme de sécurité figurant au dos !

conclusion

L’ensemble est plutôt cohérent, en dehors du message truffé de fautes d’orthographe. Il reste néanmoins enfantin à détecter avec un peu d’attention.

Malgré tout, au bout de deux jours, le site compromis était détecté comme malveillant par plusieurs proxys quand un utilisateur tentait d’y accéder. Preuve que la détection fonctionne à d’autres niveaux même si l’anti-spam a été pris en défaut. L’hameçonnage restant toutefois possible durant le laps de temps entre la réception du spam et la remédiation apportée par les proxys.

Selon une étude menée en 2011 par Cisco, une attaque en phishing de ce type piège environ 8 utilisateurs sur 1 million et représente un préjudice moyen de 2000 $ par victime. De quoi donner des idées !

Philippe Macia

Après un passé de formateur, d’opérationnel IT, d’avant-vente technique et de responsable service client, j’ai rejoint l’équipe sécurité d’Orange Business en tant que chef de produit. Je suis très attaché à l’expérience utilisateur et à la simplicité d’administration des solutions que nous créons. Mes maîtres mots : partage du savoir, logique, pragmatisme et simplicité.