Attention, Phishing !!!

[bleuet]

Salut,

 

J'ai repris un de ces courriers en htlm original.

Le lien qui me renvoie sur orange en htlm original, est:

Cliquez ici service.clients/orange.fr

Il se trouve modifié comme suite en texte simple :

service.clients/orange.fr <http://muscularstore.net>* *

Rien à voir avec le site Orange !

 

L'extension de Falkra >

http://www.thunderbird-mail.de/wiki/Allow_...p_%28english%29

est bien utile.

 

[Falkra]

Par contre ça ne marche que pour Thunderbird, voici quelques manips pour Outlook.

 

Lire les mails en mode texte

 

• Pour outlook express : Cliquez sur le menu "Outils", "Option", "Lecture" et cochez "Lire tous les messages en texte clair".
  Selon la version cela peut dire "texte brut". Hop. Source : http://www.faqoe.com/rep/aa.htm
   
  
• Pour outlook tout court : Menu Outils, Options. Onglet Préférences, bouton Options de la messagerie. Cocher la case Lire tous les messages standard au format texte brut afin de désactiver tout script HTML et cliquer sur OK. Onglet Sécurité, Paramètres. Cocher la case Bloquer le contenu externe dans le courrier électronique au format HTML afin de désactiver l'affichage des images stockées sur un site Web et cliquer sur OK. Cliquer sur OK pour terminer.
  Source et complément : http://faq-outlook.fr/articles.php?article_id=63
   
  
• Pour thunderbird : Menu "affichage", "corps du message en", "texte seul" si vous n'utilisez pas l'extension (qui est plus pratique pourtant).
  

[bleuet]

Salut,

 

Je ne les recevais que les WE; ce matin, surprise, c'est reparti. Les liens sont par contre différents !

 

S'agissant à l'origine de wanadoo, les messageries étaient en @wanadoo.fr

Au passage à Orange, elles pouvaient être configurées en @orange.fr -ce que j'ai fait- sans problème pour les transmissions de messages.

Or, tous ces messages de voyous arrivent sous @wanadoo.fr. Au moins 1 repère !

 

[Falkra]

Les spammeurs ne travaillent pas le week-end ? La honte.

[ipl_001]

Bonsoir Le Novice °¿°,

...

Orange envoie tous les mois un mail à ses abonnés

Pour les informer que leur facture ( celle du mois en cours ) est disponible en ligne

L'abonné peut cliquer sur un lien dans le mail, il accéde alors directement à sa facture et peut ainsi la visualiser immédiatement

 

Tu te doutes bien que les pirates ont vite pigé le truc !

Belle copie conforme du mail Orange et lien à cliquer pour accéder directement à la facture

Sauf que ( évidemment ! ) le lien en question n'amène jamais sur la facture ....

Je reviens sue ce post ancien...

 

>Sauf que ( évidemment ! ) le lien en question n'amène jamais sur la facture ....

C'est le "évidemment" qui me fait réagir.

Il serait très facile pour les voyous de rediriger l'internaute sur la validation du mot de passe par Orange après avoir bien sûr, enregistré le mot de passe préalablement entré.

Ils ne pourraient que rediriger vers la page d'entrée du mot de passe et il y aurait une deuxième demande de mot de passe mais je suis sûr que beaucoup ne se douteraient de rien, pensant avoir mal tapé leur code ou trouvant presque naturel que l'ordinateur "fasse encore des siennes" !

 

>Sauf que ( évidemment ! ) le lien en question n'amène jamais sur la facture ....

Ne pas amener à la facture ou du moins, ne pas dépasser le stade de la validation montre quelque chose de louche... demander une deuxième entrée du mot de passe (redirection des pirates) est plus subtil...

 

Attention ! La chose s'est déjà vue sur des forums : piratage de mot de passe d'administrateur ou modérateur.

[ipl_001]

Bonsoir Florinator, bonsoir à tous,

 

Je te souhaite la bienvenue sur Zebulon.fr !

 

...

Les auteurs de ces mail sont intrassable?

...

Ultra facile de donner de fausses informations au protocole SMTP.

Un ordinateur peut aussi être derrière un proxy, facilitant les falsifications. De même un méfait commis d'un pays étranger ou effectué par un zombie.

[ipl_001]

Falkra,

 

Merci beaucoup pour tes informations très précieuses !

[Le Novice °¿°]

Bonsoir ipl 001

 

J'ai écrit :

" Sauf que ( évidemment ! ) le lien en question n'amène jamais sur la facture .... "

 

Car ( normalement ... ) le simple fait de cliquer sur le lien ouvre directement la facture en ligne, sans aucune autre manipulation

 

Mais je pense que tu l'avais bien compris ...

[ipl_001]

Re,

 

J'ai reçu aujourd'hui un autre e-mail piégé :

From: Elliott Daly mailto:xeroxesnlb@righthemisphere.com

To: ipl_001 [at] zebulon [dot] fr

Sent: Tuesday, August 18, 2009 6:13 PM

Subject: DHL Delivery problem NR 0O8I58E

 

 

Dear customer!

 

We were not able to deliver postal package which was sent on the 12th of June in time

because the recipient's address is incorrect.

Please print out the invoice copy attached and collect the package at our office.

 

Your DHL Delivery Services.

Mise à part l'adresse de messagerie bizarre pour un employé de DHL, cet e-mail est en anglais correct.

Bien sûr, il se pourrait bien qu'un paquet me soit envoyé par DHL mais si je me souviens bien, j'aurais reçu un e-mail avant celui-ci et j'aurais eu un numéro et une adresse Web me permettant d'en suivre le cheminement ! J'aurais également un numéro de téléphone me permettant de les joindre.

 

Il y a un fichier joint à l'e-mail mais cest un .zip ce qui est bizarre.

 

Received: from 89.215.179.186

Cette adresse IP se trouve à Sofia, en Bulgarie. Bien sûr, un Bulgare peut toujours essayer de me faire un cadeau, si ce n'est pas un parapluie...

 

~~~~~~

Analyse sur VirusTotal :

Fichier D27802c99.zip reçu le 2009.08.18 21:01:55 (UTC)

Situation actuelle: terminé

 

Résultat: 10/41 (24.4%)

Fichier D27802c99.zip reçu le 2009.08.18 21:01:55 (UTC)Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.24 2009.08.18 Trojan.Win32.Bredolab!IK

Authentium 5.1.2.4 2009.08.18 W32/Troj_Obfusc.J.gen!Eldorado

ClamAV 0.94.1 2009.08.18 Trojan.Downloader-76001

F-Prot 4.4.4.56 2009.08.18 W32/Troj_Obfusc.J.gen!Eldorado

Ikarus T3.1.1.68.0 2009.08.18 Trojan.Win32.Bredolab

Kaspersky 7.0.0.125 2009.08.18 Backdoor.Win32.Bredolab.ig

McAfee+Artemis 5713 2009.08.18 Artemis!62CB4E2A8DD7

Panda 10.0.0.14 2009.08.18 Suspicious file

Rising 21.43.14.00 2009.08.18 Unknown Win32 Virus

Sophos 4.44.0 2009.08.18 Mal/Bredo-A

~~

AhnLab-V3 5.0.0.2 2009.08.18 -

AntiVir 7.9.1.3 2009.08.18 -

Antiy-AVL 2.0.3.7 2009.08.18 -

Avast 4.8.1335.0 2009.08.17 -

AVG 8.5.0.406 2009.08.18 -

BitDefender 7.2 2009.08.18 -

CAT-QuickHeal 10.00 2009.08.18 -

Comodo 2015 2009.08.18 -

DrWeb 5.0.0.12182 2009.08.18 -

eSafe 7.0.17.0 2009.08.18 -

eTrust-Vet 31.6.6685 2009.08.18 -

F-Secure 8.0.14470.0 2009.08.18 -

Fortinet 3.120.0.0 2009.08.18 -

GData 19 2009.08.18 -

Jiangmin 11.0.800 2009.08.18 -

K7AntiVirus 7.10.821 2009.08.18 -

McAfee 5713 2009.08.18 -

McAfee-GW-Edition 6.8.5 2009.08.18 -

Microsoft 1.4903 2009.08.18 -

NOD32 4346 2009.08.18 -

Norman 6.01.09 2009.08.18 -

nProtect 2009.1.8.0 2009.08.18 -

PCTools 4.4.2.0 2009.08.18 -

Prevx 3.0 2009.08.18 -

Sunbelt 3.2.1858.2 2009.08.18 -

Symantec 1.4.4.12 2009.08.18 -

TheHacker 6.3.4.3.383 2009.08.13 -

TrendMicro 8.950.0.1094 2009.08.18 -

VBA32 3.12.10.9 2009.08.18 -

ViRobot 2009.8.18.1889 2009.08.18 -

VirusBuster 4.6.5.0 2009.08.18 -

 

Information additionnelle

File size: 23750 bytes

MD5...: caff36561661791d3cbced095abac899

SHA1..: 8e4f3a43080c133da1c2f1aa2610024df18968ea

SHA256: 5544f71b029e2ed4c77cbc78c06664f7d23b430efa0e0f39c12a205a8c65f5cd

ssdeep: 384:Az5apqEhNsp/q72pMQ1Im4QVKxGL69++f2G2qO+eLutlPBF:AtAqofKOb9DU<BR>LSLfNXPeCtBBF<BR>

PEiD..: -

TrID..: File type identification<BR>ZIP compressed archive (100.0%)

PEInfo: -

PDFiD.: -

RDS...: NSRL Reference Data Set<BR>-

[ipl_001]

Bonsoir Le Novice °¿°,

Bonsoir ipl 001

 

J'ai écrit :

" Sauf que ( évidemment ! ) le lien en question n'amène jamais sur la facture .... "

 

Car ( normalement ... ) le simple fait de cliquer sur le lien ouvre directement la facture en ligne, sans aucune autre manipulation

 

Mais je pense que tu l'avais bien compris ...

Je suis désolé, je n'avais pas bien compris !

 

Je suis client de Free.fr.

Je ne reçois aucun message de Free.fr, c'est à moi à aller voir mon compte et ma facture, volontairement.

 

Donc, Orange, envoie un e-mail avec un lien vers la facture et si le mot de passe a été pré-enregistré, il n'y a pas de demande de pw mais directement la facture ?

 

J'ai quelque chose d'un peu semblable pour mon mobile Bouygues mais là, j'ai un e-mail m'indiquant le montant de la facture et m'invitant à consulter le détail. Si je veux le détail, je clique sur un lien et j'ai à entrer mes coordonnées, je crois sans aucune possibilité de les enregistrer.