Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Thursday 11 February 2010
Article  Concern at DDoS sophistication rise

Monday 8 February 2010
Article  Voice encryption standard takes a beating

Friday 5 February 2010
Article  Military importance of cyber recognised

Written by Jerome Saiz (SecurityVibes)
Published on Thursday 16 December 2004
0 comment(s) | Subnetwork France

Le phishing est sans conteste l'escroquerie de l'année. Le terme est très à la mode, mais à quoi cela ressemble vraiment, une tentative de phishing ? Regardons celui qui vient de nous arriver.

Premier contact : un email semblant provenir de la banque américaine Washington Mutual. Nous ne sommes pas client, mais qu'importe : l'escroc sait parfaitement que sur les milliers de courriers qu'il va envoyer seule une infime minorité tombera chez de vrais clients de la banque. Mais au petit jeu du phishing, les statistiques jouent en sa faveur : une infime minorité d'un très gros volume de courriers, ça fait tout de même quelques pigeons à plumer... et ça coûte pas cher.

Le courrier nous indique que la banque procède à des opérations de maintenance informatique et nous invite à nous rendre sur un site sécurisé pour y "confirmer" nos informations personnelles. Petite touche personnelle : la mention que cet email a été envoyé à tous les clients et qu'il est obligatoire de se plier au contrôle.

Au premier regard, le lien communiqué dans le courrier semble effectivement pointer vers la banque Washington Mutual.

La banque Washington Mutual nous prendrait-elle pour un client ?

Mais les apparences sont trompeuses : derrière le logo de la banque, le code source du message (accessible grâce à une fonction offerte par tous les outils email) raconte une toute autre histoire. Dès les premières lignes l'escroquerie se précise : From support_num_10401114@wamu.com Thu Dec 16 13:36:09 2004 Return-Path: support_num_10401114@wamu.com Received: from ca-tours-8-89.w80-8.abo.wanadoo.fr (ca-tours-8-89.w80-8.abo.wanadoo.fr [80.8.13.89])

Bien que le courrier affirme venir d'une banque américaine (wamu.com), il a été expédié depuis l'ordinateur d'un abonné à Wanadoo situé près de Tours, en France. A moins que Washington Mutual ait ouvert une filiale hexagonale bien mal équipée, il s'agit plutôt de l'ordinateur d'un internaute un peu naïf. Il aura été détourné à son insu par le pirate lui-même ou après une infection quelconque. Voilà d'ailleurs pourquoi tous les derniers virus intègrent des outils de prise à distance.

La suite de l'observation du code source du message révèle que la totalité du courrier n'est en fait qu'une grosse image. Celle-ci sert de lien vers un tout autre site que celui affiché dans le message : l'escroquerie est donc avérée. Le texte contient aussi quelques phrases aléatoires, dissimulée à l'internaute, dans l'espoir de tromper les filtres antispam.

L'adresse 64.231.8.76 appartient à Bell Nexxia, filiale de l'opérateur Bell au Canada. Son activité est essentiellement... la fourniture de connexions ADSL au grand public ! Il s'agit probablement là aussi d'un PC familial détourné...

Mais soyons fous. En cliquant volontairement sur le lien, la page qui s'affiche fait froid dans le dos : elle reprend le logo et les couleurs de la banque, mais se montre largement plus indiscrète que ne le serait le plus curieux des banquiers. Tout y passe, depuis le numéro de la carte bancaire et son code PIN jusqu'au numéro de sécurité sociale.

Le pirate se montre particulièrement indiscret. Comble de l'ironie, notez le petit cadenat rassurant et la mention "secure".

Le piège ne sera cependant pas resté ouvert très longtemps : quelques heures à peine après avoir reçu le courrier, le site n'était plus accessible. Fin du voyage pour un phishing très ordinaire. Pour la banque Washington Mutual, rien n'a changé. Sur son site, seule une page d'alerte tente de sensibiliser les clients aux risques du phishing. En attendant les prochains...