Fishing Free

[Le docteur]

J'ai reçu un phishing soi-disant de Free.
J'ai fait la connerie d'examiner le mail sur l'iBook de ma blonde et le "clic" est parti tout seul (je crois que j'ai essayé un clic à deux doigts sur son Tigre).
Je me suis retrouvé devant une interface Free, j'ai coupé tout de suite, mais j'ai eu le temps de voir que les champs étaient préremplis. Je n'ai donc pas cliqué pour valider, mais je me demande s'il n'y a vraiment aucune possibilité de transmission automatisée des informations.

J'ai changé mon mot de passe.

Vous avez entendu parler de ce truc ?

 

[TiteLine]

Pas vraiment, à ma connaissance, les champs sont vides et sont des filets de pêche pour les pigeons, euh poissons qui mordraient à l'hameçon Mais je me trompe peut être, j'ouvre rarement les mails de mon FAI :rose: et ne m'identifie jamais via un lien dans un mail.

Es-tu certain qu'il s'agissait de phishing?

j'ai trouvé cet exemple de phishing mais il date un peu :
http://www.secuser.com/phishing/2009/090328-free.htm

 

[Le docteur]

Oui, d'abord l'adresse était pourrave : id-orange etc. suivie d'une adresse free.
Ensuite j'ai été demandé l'avis de M. Free par le tchat d'assistance. Et il m'a confirmé qu'il y avait des fishings en ce moment. C'est vrai que j'ai peu détaillé.
Il m'a promis que je risquais rien si je ne cliquais pas.

Donc les champs, selon toi sont en fait des faux champs préremplis. Ca ne marche pas et on tape les vrais ??? Ca se tiendrait.

M. Free m'a dit que c'était "pour récupérer des informations".
J'ai cherché : on trouve un numéro de RIB par exemple ...

---------- Nouveau message ajouté à 23h10 ---------- Le message précédent a été envoyé à 23h08 ----------

Là on me dit que j'ai un débit anormal sur mon compte, qu'il a été bloqué par précaution et que pour le débloquer je dois cliquer sur le lien...
Quel con ! Mais quel con ! C'est ma curiosité et le trackpad de l'iBook qui m'a collé dedans. J'ai pas pu m'empêcher de vouloir voir le détail de l'adresse...

---------- Nouveau message ajouté à 23h12 ---------- Le message précédent a été envoyé à 23h10 ----------

J'ai regardé ton lien, en fait ça ressemble à la même chose en fait.
Mais je n'ai pas saisi "un grand nombre d'informations personnelles et bancaire".
Espérons que ce n'est pas une mise à jour virulente et automatisée (mais est-ce seulement possible)...
Je flippe comme un nerd windowsien, là...

---------- Nouveau message ajouté à 23h15 ---------- Le message précédent a été envoyé à 23h12 ----------

Non, le message est un peu différent, mais l'esprit reste le même.

 

[TiteLine]

Tu dis que les champs étaient préremplis mais l'étaient-ils correctement? C'est cela qui m'étonne. En général, c'est vide et faut remplir pour donner les infos. (Ils aiment bien les numéros de CB )

Si c'était du remplissage bidon, à mon avis, tu ne risques absolument rien.

Et avec un RIB , on ne va pas loin non plus si on n'a pas signé une autorisation de prélèvement. Enfin le risque zéro n'existe pas mais je pense que c'est moins utilisable qu'un numéro de CB

 

[Le docteur]

Oui, c'était sans doute un remplissage bidon...
L'option "nom et mot de passe utilisateur" n'était pas cochée dans le remplissage auto de Safari, et c'est bien lui qui a ouvert le site... Et je n'ai pas cliqué.
Maintenant le problème des RIB sur Internet, c'est que ça se revend et que ceux qui achètent peuvent jouer à faire des faux...

---------- Nouveau message ajouté à 23h29 ---------- Le message précédent a été envoyé à 23h22 ----------

Le "run&dispatch" j'espère que c'est pas une commande à la con qui peut me faire un enfant dans le dos...

 

[pascalformac]

il serait utile d'en poster une capture pour analyser
et surtout montrer le look de cette chose à de futurs recipiendaires
c'est jamais inutile

 

[Le docteur]

De : Service Client Free.fr <[email protected]>
Date : 27 mars 2010 06:25:34 HNEC
À : Le Docteur
Objet : Notre systeme a detecte des charges inhabituelles !

--CC42D37A9A394CE51A5400C28282BC85
Content-Type: text/html
Content-Transfer-Encoding: 8bit

<div id="message" >

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
<meta http-equiv="Content-style-type" content="text/css">
<meta http-equiv="Content-language" content="fr">
</head>

<body style="width:500px;background-color:#DDDFFE;color:#000000;margin:auto;font-family:arial;">
<div style="width:500px;color:#0A4FFF;font-size:11px;display:table-cell;text-align:center; vertical-align:middle;">


</div>
<img src="http://i43.tinypic.com/9qb9rp.jpg" />
<blockquote>
<table border="0" cellpadding="2" cellspacing="2" width="660">
<tbody>
<tr>
<td valign="top"><b>Chers client (e) Free,</b><br>
</td>
</tr>
<tr>
<td valign="top">
Par mesures de s&eacute;curit&eacute; et Gr&acirc;ce &agrave; notre exp&eacute;rience, Nous contr&ocirc;lons tous les charge inhabituelles li&eacute;e a votre compte.
<br />
Nous avons d&eacute;termin&eacute; que quelqu'un a peut-&ecirc;tre tent&eacute; d'acc&eacute;der &agrave; votre compte

Free sans votre autorisation.<br />

Pour votre protection, nous avons restreint l'acc&egrave;s &agrave; votre compte.
<br /><br />
<b>Num&eacute;ro de R&eacute;f&eacute;rence : YS88K77</b><br /><br />
Nous avons temporairement restreint l'acc&egrave;s &agrave; votre compte. Nous r&eacute;&eacute;tudierons
cette restriction lorsque vous <br />aurez fourni les informations demand&eacute;es.
<br />Pour lever cette restriction, vous
devez suivre les
&eacute;tapes suivantes :<br>
</div>
<ol>
<li>Cliquez sur le lien suivant
: <a
href="http://www.id-orange-securite.com/imp.free.fr/login.php?free=_login-run&dispatch=5885d80a13c0db1f1ff80d546411d7f84f1036d8f209d3d19ebb6f4eeec8bd0e6d0c7bd1b8894f8bd77d62f9b8cf0c586d0c7bd1b8894f8bd77d62f9b8cf0c58" target="_blank"><b>http://imp.free.fr/horde/compte=YS88K77?39485773999</b></a></li>
<li>
<div align="justify">Connectez-vous</div>
</li>
<li>Mise &agrave; jour vos informations personnelles</li>
<li>Reconnectez-vous<br>
</li>
</ol>
</td>
</tr>

<tr align="justify">
<td valign="top">Vous avez un d&eacute;lai de 48h pour r&eacute;tablir l'acc&egrave;s &agrave; votre compte sans ceux votre compte sera supprim&eacute; d&eacute;finitivement !<br /> Merci,<br />
L'&eacute;quipe Free Adsl (Freebox) <br />
Veuillez ne pas r&eacute;pondre &agrave; cet email. Les messages re&ccedil;us &agrave; cette adresse ne
sont pas lus et ne re&ccedil;oivent donc <br />aucune r&eacute;ponse. <br>-------------------------------------
<br>Webmail Free.fr Copyright &copy; 2010 ! Tous droits r&eacute;serv&eacute;s<br>Email Free n&deg; PP4988<br><br><br> </div>

</div>


</div>

</td>

</div>


--CC42D37A9A394CE51A5400C28282BC85
Content-Type: ; name="message.html"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="message.html"
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--CC42D37A9A394CE51A5400C28282BC85--

Un beau soukh sur notre plate-forme.
Apparemment quand on le lit sur du Microsoft ça donne des jolies fôtes d'ortografe...
Quoique : j'ai tenté de relire on dirait qu'ils ont amélioré leur orthographe depuis les dernières versions. J'espère qu'ils n'ont amélioré que ça...
Je m'interroge sur le lien tout de même ...

 

[pascalformac]

je parlais de capture ( image)

ceci dit c'est TRES interessant

d'entrée on voit que ca ne vient pas de free
expediteur De : Service Client Free.fr <[email protected]>
bidon
( free a ses propres domaines , y en a plusieurs pour les courriers venant de free ( free.fr ou freetelecom entres autres)
mais pas celui là


confirmé par la suite
( les liens norangeux)

 

[Le docteur]

Oui j'ai failli faire une capture d'image, mais tout y est...
Il valait mieux le faire sous forme d'image ?
Je ne sais pas si je dois trop laisser traîner tout ça...

 

[pascalformac]

les 2 mon géneral

car la capture montre de quoi ca à l'AIR

et le texte en 7 dit ce qui se cache derriere

- montrer un phisphing est surtout utile pour les quelques utilisateurs qui ne savent pas encore ce que c'est
( il en reste, sinon ce genre de truc ce serait arrêté , les escrocs sont pragmatiques , n'ont pas de temps à perdre en trucs pas efficaces)

 

[Le docteur]

Voilà (sauf que c'est pas bleu, c'est une redirection)

---------- Nouveau message ajouté à 13h17 ---------- Le message précédent a été envoyé à 13h14 ----------

En même temps, le coup du clic à deux doigts sur l'iBook tigerisé ... j'ai réussi à lancer le lien...
Mais apparemment pas d'automatisme potentiellement dangereux ...

Reste que le phishing en tant que tel, on n'en serait pas là si certains n'avaient pas voulu "simplifier l'expérience utilisateur" comme des gorets. (à la façon de l'iPad, je suis pour, mais à la mode activeX et mails bourrés de codes html, par contre..)

 

[Moonwalker]

Mail>Préférences>Présentation

Décocher "Afficher les images distantes dans les messages HTML"

Le fishing fonctionne au FUD. Certains y sont plus sensibles que d'autres...

 

[Membre supprimé 2]

Les auteurs de ces poissons pas encore d'avril semblent très actifs, si l'on en croit ce fil et ses multiples témoignages... Ou celui-ci.

 

[Le docteur]

Je suis toujours en train de me poser des questions à propos de la fenêtre que j'ai vu apparaître lors de mon clic malheureux : une fenêtre de connexion avec quelque chose de prérempli. Ce qui m'étonne c'est que normalement tout aurait du être vide...

 

[Aliboron]

Ce qui m'étonne c'est que normalement tout aurait du être vide...

Ce n'est pas tout simplement l'auto-remplissage de Safari qui a fait son travail ? En principe rien de bien dangereux, sauf si ta copine a mémorisé ses codes et identifiants de carte bleue (c'est en général ce que les auteurs cherchent à récupérer). Je pense néanmoins que, tant que tu n'as pas cliqué pour valider l'envoi, rien n'est sorti.

Pour le reste, il n'y a pas trop à élucubrer, du phishing dans ce genre, on en reçoit tous régulièrement, quand ce n'est pas prétendument au nom de free, c'est au nom de PayPal, d'orange, ou d'autres encore. Quand on est curieux d'en savoir un peu plus, le mieux est de commencer par regarder le fichier source du message.