LOL du jour : le phishing par les sous-doués

apple 26 août 2015

Le phishing, c’est sale. Mais faut reconnaître que c’est parfois tellement mal fait que finalement ça détend, surtout à l’heure du café :)

Je viens de recevoir 2 fois de suite un email sur l’adresse qui ne me sert que sur leboncoin. Évidemment je m’attendais aux arnaques inhérentes à ce site, aussi avais-je pris soin d’utiliser un email dédié.

Je découvre un message assez sommaire qui me donne déjà une idée de la suite. Ou plutôt du contenu.

Y’a déjà des alertes, hormis le fait que le message soit “vide” :

From: "Service Secure.inc" <[email protected]> Rien que le nom de l’expéditeur devrait interpeller,
Message-ID: <[email protected]> pareil. Surtout si vous aller voir ce fameux cashstoploans.com

Pas grave, j’enregistre tout de même la pièce .html jointe et l’édite. Et alors là… dur. Je sais que c’est pas facile d’arnaquer les gens mais y’a quand même un minimum, ne serait-ce que par amour propre. C’est juste crade là et plus gros que l’Uluru.

<html><head></head><body style="font-family: Verdana;font-size: 12.0px;"><br/><div><div><div class="ecxppmail"><style></style><center><table border="0" cellpadding="0" cellspacing="0" id="ecxemailWrapperTable" style="font: 11.0px Verdana , Arial , Helvetica , sans-serif;color: rgb(51,51,51);" width="580"><tbody><tr valign="top"><td colspan="3"><table border="0" cellpadding="0" cellspacing="0" width="100%"><tbody><tr><td></td></tr></tbody></table></td></tr><tr><td id="content_box" class="ecxcontentArea" style="width: 530.0px;padding: 12.0px;" width="530"><ol style="border:1px solid #eee;background-color:#e8f1fa;padding-top: 20px;padding-bottom: 20px;"><img src="http://4.bp.blogspot.com/-N7wWb4h-NLo/VZAXqOfErQI/AAAAAAAAACM/riP3df8M5BY/s1600/apple-logo.png"/><br>_____________________________________________________________________<br><br>Dear Client,<br><br>We've noticed that some of your account informations <br>appears to be missing or incorrect,<div>your Apple will be locked until we receive respond from you. <br>We need to verify you account</div><div>informations in order to continue using your <font class="Apple-style-span" color="#45a7ff"><a href="tucsonproject.com/go.html">Apple ID</a></font><br>Please Verity your account</div><div>informations by <font class="Apple-style-span" color="#41abff"><a href="tucsonproject.com/go.html">clicking in the link below</a></font>.</div><div><br></div><div><table border="0" cellpadding="0" cellspacing="0" class="ecxcallToAction" style="font: 11.0px Verdana , Arial , Helvetica , sans-serif;"><tbody><tr><td bgcolor="#44a0ff" style="padding: 1.0px 10.0px;border: 1.0px solid rgb(191,191,191);border-right-color: rgb(144,141,141);border-bottom-color: rgb(144,141,141);"><a href="tucsonproject.com/go.html" style="text-decoration: none;color: rgb(0,0,0);" target="_blank">Confrim My Account</a></td></tr></tbody></table></div><div><br></div><div>If you didn?t make this change or if you believe <br>an unauthorized person is attempting to access your account, <br>you can reset your password by going to <font class="Apple-style-span" color="#4989ff"><a href="tucsonproject.com/go.html">My Apple ID</a>.</font></div><div><br></div><div>Regards,<br>Apple Support<br>_____________________________________________________________________<br><center><table border="0" cellpadding="0" cellspacing="5" style="font-family: verdana;font-size: 12.0px;border-top: 1.0px solid rgb(238,238,238);border-bottom: 1.0px solid rgb(238,238,238);margin-bottom: 15.0px;" width="520"><tbody></tbody></table><span class="ecxxptFooter" style="font:11px Verdana, Arial, Helvetica, sans-serif;"><p><font class="Apple-style-span" color="#4c98ff">My Apple ID</font> | <font class="Apple-style-span" color="#44a0ff">Support</font> | <font class="Apple-style-span" color="#4d8dff">Privacy Policy</font> <br/>Copyright © 2015 Apple Inc. All rights reserved</td></div></p></span></span></li></ol></tr></div></div></div></center></body></html>

Là au moins c’est clair et net :

<img src="http://4.bp.blogspot.com/-N7wWb4h-NLo/VZAXqOfErQI/AAAAAAAAACM/riP3df8M5BY/s1600/apple-logo.png"/> & <a href="tucsonproject.com/go.html">Apple ID</a>

Pour ceux qui ne comprennent pas le code : les logos viennent d’un site blogspot.com et les liens renvoient sur tucsonproject.com. En suivant ce dernier lien je tombe sur la fake page Apple, depuis laquelle d’ailleurs tous les liens pointent vers cette même adresse. Le type n’est même pas capable de rediriger vers Apple histoire de mieux ficeler son affaire.

Surprenant d’ailleurs de voir que le code de la page est chiffré

Dans l’adresse je vois gumbiro.com. En curieux que je suis, j’y vais. Surpriiiiise ! o/

Comme dans la pub “Et c’est pas fini !”

Je jette juste un œil au code source de gumbiro.com

Je vous laisse le plaisir de découvrir les liens. Aucun risque pour vous, à part psychologique peut-être… http://gmpg.org/ & http://gmpg.org/xfn/11

Vu que c’est un WordPress on peut penser qu’il a été piraté pour servir d’hébergement à la fake page Apple. C’est ce qui arrive souvent avec les sites laissés à l’abandon et peu sécurisés. Pas la peine de creuser plus de ce côté là. Si vous avez un WordPress d’ailleurs (ou autre) pensez aux règles de base de sécurité qui doivent se trouver sur quelques milliers (millions) de sites sur le sujet.

Bref, je me suis marré. Je retourne bosser. Je ne veux pas chercher plus, ça n’en vaut ni la peine ni le risque.