3615 My Life – Tentative de Phishing

Vous croyez que j’ai commandé cela? Et bien non… et moi aussi j’ai été surpris lorsque j’ai reçu cet email.

Vendredi j’ai été victime d’une tentative de Phishing. Je reçois un mail sur mon smartphone m’annonçant « votre commande a été enregistrée » avec les images de la fnac, sans faute d’orthographe, mais vraiment bien. Chapeau!

On rajoute une adresse de livraison d’un tiers, pour faire peur encore plus et montrer que « nous avons payé et commandé un truc » et que ce truc, va être livré chez une autre personne.

On colle en plus un nom/prénom à consonance d’un pays où le piratage et le vol sont monnaie courante, pour faire croire que cette personne qui se fait livrer les trucs que « nous » avons payé nous a piraté.

Le premier truc qui m’a mis la puce à l’oreille est que pour les sites de commande en ligne, j’utilise toujours mon vrai prénom, pour les autres sites, je m’inscris toujours avec mon pseudo. Donc il ne peut pas y avoir de paiement au nom de Jack Huser. Le deuxième, est qu’il n’est pas possible qu’un pirate ait pu payer avec ma carte en ligne, vu que j’ai activé la double authentification, et qu’en plus je ne paye jamais avec ma carte, mais avec un code à usage unique.

Toutefois, étant sur smartphone et ayant le doute (paiement avec ma carte FNAC, pirate par photographie du numéro, autre…).

Premier réflexe : NE PAS PANIQUER, consulter le site : https://www.cybermalveillance.gouv.fr/ et suivre leurs conseils. Notamment pour l’hameçonnage (phishing): https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/hameconnage-phishing. Le site recommande donc de contacter la banque et le vendeur pour vérifier si le mail est légitime.

Donc:

Deuxième réflexe: appeler la banque. Dans ce cas: ne rien faire par internet (on sait jamais). J’ai donc téléphoné et ma banque m’a assuré qu’aucun paiement n’a été fait. Comme je n’ai aucun doute sur le fait que mon numéro de carte est sécurisé, je savais qu’il n’était pas nécessaire d’aller plus loin.

Troisième réflexe: appeler le service client du vendeur pour vérifier qu’il y avait bien eu une commande sous le numéro du mail: FR105236402XS. Le service client de la FNAC m’a certifié qu’il n’y avait pas de commande, et que je n’ai pas été le premier à appeler pour ce numéro qui est bien du phishing.

A partir de là, on peut souffler et être soulagé.

Pour aller plus loin, si je n’avais pas fait cela, j’aurais cliqué sur le lien du mail, qui ouvre un site pour « Annuler la commande »… (SURTOUT NE PAS CLIQUER SUR LES LIENS). Je l’ai fait avec toutes les précautions requises (VPN + navigateur sécurisé). Le site se présentait comme « fnac.com.annulation-commande.com/etc. »). Autrement dit, clairement pas le site de la fnac. Il y ressemblait, mais ce n’était pas le cas. Le site demandait en plus des informations personnelles (SURTOUT NE PAS LES RENSEIGNER).

Si j’ai cliqué sur le lien, c’est pour récupérer l’URL du site de phishing afin de le dénoncer sur : https://phishing-initiative.fr/contrib/ comme indiqué sur https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/hameconnage-phishing.

Les autres indices qui indique du phishing:

Les images du « faux mail de la FNAC », ont une adresse de type : https://www.redirangin.com/new_fichiers/tab.jpg… ce qui n’est clairement PAS les images du site de la FNAC.

L’analyse du header du mail:

return-path: <01010178f3c77371-6b7c98a4-b073-4d2d-8c09-61acb5b88060-000000@us-west-2.amazonses.com> … authentication-results: mx.infomaniak.com; dmarc=none (p=none dis=none) header.from=fnac-informations.com authentication-results: mx.infomaniak.com; dkim=pass (1024-bit key; unprotected) header.d=fnac-informations.com header.i=@fnac-informations.com header.b= »SJnuGmTV »; dkim=pass (1024-bit key; unprotected) header.d=amazonses.com header.i=@amazonses.com header.b= »LfgI38mQ »; dkim-atps=neutral authentication-results: mx.infomaniak.com; spf=pass smtp.mailfrom=01010178f3c77371-6b7c98a4-b073-4d2d-8c09-61acb5b88060-000000@us-west-2.amazonses.com dkim-signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; s=6eppg4izpozwohwckdsashjb55qvmobm; d=fnac-informations.com; t=1618997638; h=Content-Type:MIME-Version:Subject:To:From:Date:Message-ID; bh=Un96MTkX/xidYcI+64j877EClf2vReg30KQ4n0hu3ac=; b=SJnuGmTVU2GGtTc07/PqMeT37i3GMB+skin84Eg+rWd9Vu1nYBw1vdzo/qXFyN5m 8TLW9/M5Kw3sZtmuan3l9RS284TE5SpD+HwJqFp9bZ2mtJQDJecKmTCjYFHWhBRCLCT xnsA7C46h4PAD32AJ3gS9qKsR2FpXlL67nKtpQSs= dkim-signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple; s=7v7vs6w47njt4pimodk5mmttbegzsi6n; d=amazonses.com; t=1618997638; h=Content-Type:MIME-Version:Subject:To:From:Date:Message-ID:Feedback-ID; bh=Un96MTkX/xidYcI+64j877EClf2vReg30KQ4n0hu3ac=; b=LfgI38mQitmNopJQbbop7dwksUdoSTj5mLB3MKXGVxvJeLJm/PEO4wPGIPB0pzRJ rjfE9IqP0q+maw1H+ka9wZCs+wYqyZlx9tft4vBdMu8zqNsf1GOz0+xD9CpgsW4l0M4 Omt9M5yt6d/lF92p0Zor2lXXn6Nidgtto+jNPAeo= content-type: multipart/alternative; boundary= »===============0346769623== » mime-version: 1.0 subject: Validation de votre commande to: <mon email> from: « Fnac » <nepasrepondre@fnac-informations.com> date: Wed, 21 Apr 2021 09:33:58 +0000 message-id: <01010178f3c77371-6b7c98a4-b073-4d2d-8c09-61acb5b88060-000000@us-west-2.amazonses.com> feedback-id: 1.us-west-2.weeW/YWA657JZP0RqIx9tIwfY5VFSH7/mQm0lFqBPo8=:AmazonSES x-ses-outgoing: 2021.04.21-54.240.27.51 x-infomaniak-spam: ham x-infomaniak-type: transactional x-spam-score: 10 x-spam-detail: ….

Montre qu’il est identifié comme du spam par mon provider (sérieux et très professionnel).

L’adresse email de communication @fnac-informations.com, n’est pas le mail de la FNAC.

De plus le mail est envoyé à partir de « amazonses.com » qui n’est clairement pas le SMTP de la FNAC et encore moins celui d’Amazon. Amazon SES signifie Amazon Simple Email Service. Qui est un service d’envoi de mails à l’usage de particuliers et de professionnels.

J’ai donc fait une réclamation à Amazon AWS pour dénoncer la personne ayant envoyé cet email puisqu’on retrouve dans l’entête du mail toutes les infos pour identifier la personne ayant utilisé ce service (IP, Ids, etc.)

Pour rappel j’avais déjà écrit un article sur le Phishing: https://shinryu.fr/6001-piratage-et-phishing-sur-facebook.html