Un exemple particulièrement naïf de mail de phishing

Je reçois à l’instant ce message de « phishing » manifeste, et je ne résiste pas au plaisir de le partager et d’en profiter pour parler de ce sujet:

From: "Webmail User Upgrading" <info@mail.com>
Reply-To: webmaster.102@hotmail.com
Subject: Email Upgrade Maintenence.
Date: Thu, 14 Jul 2011 17:22:15 +0630
Message-Id: <20110714105215.M8209@mail.com>
X-Mailer: OpenWebMail 2.53
X-OriginatingIP: 82.128.XXX.XXX (c-tides)
MIME-Version: 1.0
Content-Type: text/plain;
	charset=iso-8859-1
To: undisclosed-recipients:;
X-Spam-Check: DONE|U 0.5/N

Attn: Email Users,

Due to numerous complaints on ongoing recent spam activities on your account,
vital maintainance will be conducted on our Email servers.

To confirm and to keep your Email account active,a confirmation for ownership
must be provided. Confirm the informations below.Failure to do this might
cause a permanent deactivation of your Email Webmail account from our server.

Username : ..................
E-mail Login ID..............
Password : ..................
confirm password:............
Date of Birth :..............
Future Password :............
Telephone Number:...........

Your account shall remain active after you have successfully confirmed your
above requested informations. We apologize for any inconveniences caused as a
result of this notification. We thank you for your prompt attention to this
notification.

Email Technical Support

Copyright 2011 Email. All Rights Reserved.

Je n’ai pas copié tous les en-têtes et j’ai masqué l’adresse IP d’origine. Le principe en est assez basique:

• le message est écrit de façon générique, de façon à ressembler pour n’importe quel lecteur trop rapide à un message semblant provenir de son fournisseur de webmail. Notamment, aucune marque n’est utilisée, même si l’adresse de retour est en hotmail.
• la tonalité du message est alarmiste, c’est une catégorie typique de message de phishing: si jamais vous ne répondez pas rapidement, votre service cessera de fonctionner. C’est un des ressorts de l’escroquerie qui cherche à créer un état particulier dans l’esprit de la victime.
• les réponses demandées sont assez classiques: login, mot de passe, futur (!) mot de passe, date de naissance, numéro de téléphone. L’objectif est clairement ici d’obtenir accès à des webmails, ce qui permet à la fois de collecter des informations personnelles déjà stockées (des mots de passe reçus par mail par exemple), de procéder à mises à jour de comptes sur d’autres services, obtenir des listes de contacts, renvoyer depuis cette adresse des courriels, etc.
• le système de gestion de messagerie utilisé est OpenWebMail, installé sur le serveur d’une université Indienne, depuis une adresse IP qui se serait identifiée auprès du serveur comme le club d’entrepreneuriat de l’université.

Aucun prestataire et notamment pas un prestataire de courrier électronique Web ne vous demandera de confirmer votre login et mot de passe par courriel. Lorsque vous lisez et répondez à un message douteux, regardez à la fois l’émetteur du message (le champ From: ici ou De: dans votre logiciel de messagerie) et si vous êtes amenés à répondre, attention à l’adresse de réponse qui vous est proposée (le champ Reply-to: viendra compléter l’adresse de destination automatiquement). La langue enfin: il n’y a aucune raison qu’un prestataire français vous écrive en anglais.

Cet exemple était caricatural, mais je suis convaincu que malheureusement certains tombent dans le panneau. Alors attention aux messages que vous recevez, relisez toujours deux fois un message qui semble important, et n’envoyez jamais votre mot de passe en réponse à un tel message !

Tags: Phishing