Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
20 juillet 2010 2 20 /07 /juillet /2010 21:30

Voici un échantillon tout frais de hameçonnage ciblant SFR.

 

Cher client Sfr.

  
Ce mail vous a ete envoye suite a une faut comptable qui s est produite lors de nos factur mensuel .
En effet le 19  juillet 2010 la somme de (154,00) cent cinquante quatre Euros a ete indument preleve a cause d'un Probelem technique,un reversement en votre faveur sera effectue dans les plus brefs delais,a cet effet nous vous invitons a cliquer sur le lien ci-dessous et vous connectez pour fournir toute information susceptible d accelerer ce restitution .
le versement effectuer sera considere comme valide et aucune reclamation ne sera accepte.
Nous vous remercions de votre comprehension et nous nous excusons pour le desagrement encouru.
plus brefs delais,a cet effet nous vous invitons a cliquer sur le lien ci-dessous et vous connectez pour fournir toute information susceptible d accelerer ce restitution .
le versement effectuer sera considere comme valide et aucune reclamation ne sera accepte.
Nous vous remercions de votre comprehension et nous nous excusons pour le desagrement encouru.
Remplissez le formulaire de remboursement en cliquant sur le lien suivant.
 
  
  
Important :
Le versement effectue par Sfr sera porte sur votre prochain releve bancaire.
Nos clients Sfr beneficieront d un geste commercial.
Nous vous assurons de la confidentialite des informations fournies et Sfr se porte garant quant a la responsabilite juridique de ces transactions
--------------------------------------------------

Voici les entêtes du courriel :

Return-Path: <giosef@dazzler.unbit.it>
Received: from smtp.%serveur%.com ([unix socket]) by 
hermes.assonetworx (Cyrus v2.2.13-Debian-xxxxxx+lenny3) with LMTPA; 
Tue, 20 Jul 2010 12:42:46 +0200
X-Sieve: CMU Sieve 2.2
Received: from sabretooth.unbit.it ([81.174.68.19]) by 
smtp.%serveur%.com with esmtp (Exim 4.69) (envelope-from 
<giosef@dazzler.unbit.it>) id 1ObAHY-0004gq-Ne for 
philippe.vialle@%serveur%.com; Tue, 20 Jul 2010 12:42:46 +0200
Received: from dazzler.unbit.it (unknown [192.168.0.57]) by 
sabretooth.unbit.it (Postfix) with ESMTP id 578C5201D9ED for 
<philippe.vialle@%serveur%.com>; Tue, 20 Jul 2010 12:11:00 +0200 (CEST)
Received: by dazzler.unbit.it (Postfix, from userid 18372) id 
67EE520CFEE43; Tue, 20 Jul 2010 12:13:00 +0200 (CEST)
To: philippe.vialle@%serveur%.com
Subject: probleme technique
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: Service Client <Service@allmail.com>
Message-Id: <20100720102348.67EE520CFEE43@dazzler.unbit.it>
Date: Tue, 20 Jul 2010 12:13:00 +0200 (CEST)
               
                    
Au niveau filtrage SpamAssassion :
- DCC positif
- MIME_HTML_ONLY BODY  positif (mais donc score négatif)
- HTML_MESSAGE BODY positif
                  
                    
Quid des détections au niveau du lien inséré dans le courriel :
- Google Chrome : signalement de "site de phising"
- Safari : blocage partiel (en faisant F5, l'avertissement peut apparaître, mais pas à tous les coups...)
- Internet Explorer 8 : aucune alerte
- Mozilla Firefox et Shiretoko : avertissement de "site contrefait"
- Opera 10 : avertissement de "site frauduleux"
- barre d'outil Netcraft : avertissement classique
- McAfee trustedsource.org : site catégorisé "phishing", risque maximal
- CISCO Surfcontrol (mtas.surcontrol.com) : ne fonctionne pas :(
- Fortiguard : classifié en "information technology"...
- DrWeb URL analysis tool : URL injoignable, test impossible
- Finjan URL test : URL injoignable...
                     
                       
Quid des informations sur l'émetteur du courriel ?
Apparemment cela tourne autour de dazzler.unbit.it. Il semblerait qu'une machine interne soit compromise (192.168.0.57). L'adresse IP en résolution est : 81.174.68.57.
- IronPort Senderbase : très bonne réputation (cf. http://www.senderbase.org/senderbase_queries/detailip?search_string=81.174.68.57 )- 
            
               
A propos de l'adresse IP elle même : https://dns.l4x.org/81.174.68.57
Hébergement mutualisé : http://www.w3who.com/reverse-ip/81.174.68.57  Ceci aura probablement facilité la compromission du serveur.
              
Méfiance donc ! il est probable que les CERT assistant SFR sont déjà sur le pont...

Partager cet article

Repost0

commentaires

burlot ivan 02/08/2010 18:55


j'ai reçu plusieurs courriels de ce type ,avec comme légère variante le texte " pourri " de fautes ,et une somme m'étant soit disant dû variable elle aussi !!! évidemment ,par simple curiosité
intellectuelle .... j'ai cliqué sur le lien ,et effectivement ,on me demandait des renseignements ultra confidentiels ,en autres , mon n° de compte bancaire ( comme ci SFR l'ignorait ,dans ce cas
comment pourrait il me prélever le montant mensuel de mon abonnement ???? ) ces gens nous prennent vraiment pour des coucourges !!!!
bon courage à tous ,et prudence prudence !!!!!
bravo pour ce très bon blog ....
Ivan


Philippe V. 08/02/2011 01:48



Bonjour,


désolé je n'avais pas vu le commentaire. Je confirme que la prudence sur le net est de mise !


Cordialement,