Journal du Freenaute : Les forums > Nouvelle tentative de pishing

Version complète : Nouvelle tentative de pishing

Journal du Freenaute : Les forums > Forums techniques > Les autres services

Sirex007

vendredi 17 avril 2009 à 07:42

Bonjour, nouvelle tentative de pishing reçue cette nuit :

Free adsl, On regarde toujours en avant pour la haute securite de nos clients
Cher membre Free adsl,

attention ! Tentative d'intrusion dans votre compte Free adsl! Quelqu'un avec le IP address 149.225.126.87 a essaye d'acceder a votre compte personnel! Nous vous prions de bien vouloir vous connecter a votre compte Free adsl Et mettre a jour vos informations confidentielles ! Vous avec un delai de 24h pour retablir l? acces a votre compte sans ceux Ce dernier sera definitivement supprime ! acceder a Votre Compte .:

Vous pouvez egalement confirmer votre adresse email en vous connectant a votre compte Free adsl a l'adresse suivante :

http://www.Free.admin.fr/

*Important* Nous avons demande quelques renseignements complementaires, ce qui va etre le cadre de processus d'ouverture de session securise. Ces informations complementaires seront posees lors de votre connexion avenir pour la securite, s'il vous plait fournir toutes les informations sur ces completement et correctement autrement pour des raisons de securite ,nous devons fermer votre compte temporairement.

Nous vous remercions de votre prompte attention a cette question. S'il vous plait comprendre que cela est une mesure de securite destinee a vous aider et de proteger votre compte. Nous nous excusons pour tout inconvenient.

Raphael FaURE
Service Free adsl Internet

voici la source du mail...

Citation

Return-Path: root@linux.easyhost.be
Received: from spooler3-g27.priv.proxad.net (LHLO
spooler3-g27.priv.proxad.net) (172.20.243.239) by
spooler3-g27.priv.proxad.net with LMTP; Fri, 17 Apr 2009 05:37:10 +0200
(CEST)
Received: from mrelay1-g25.free.fr (mrelay1-g25.priv.proxad.net [172.20.243.31])
by spooler3-g27.priv.proxad.net (Postfix) with SMTP id 59D68ABBE87
for <xxxxx@spooler3-g27.priv.proxad.net>; Fri, 17 Apr 2009 05:37:10 +0200 (CEST)
Received: (qmail 20609 invoked by uid 3745492); 17 Apr 2009 03:37:10 -0000
Delivered-To: online.fr-xxxxxx@free.fr
Received: (qmail 20604 invoked from network); 17 Apr 2009 03:37:10 -0000
Received: from 193.74.65.19 (HELO linux.easyhost.be) (193.74.65.19)
by mrelay1-g25.free.fr with SMTP; 17 Apr 2009 03:37:10 -0000
Received: (qmail 26661 invoked by uid 48); 17 Apr 2009 05:26:20 +0200
Date: 17 Apr 2009 05:26:20 +0200
Message-ID: <20090417032620.26659.qmail@linux.easyhost.be>
To: xxxxxx@free.fr
Subject: Veuillez retablir rapidement un acces complet !!!
From: Service Free adsl Internet <adminadsl@free.fr>
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Free adsl, On regarde toujours en avant pour la haute securite de nos clients 
<table border="0" cellpadding="0" cellspacing="0" width="780">
<tbody><tr><td><img src="http://www.web-libre.org/medias/img/articles/3a1dd98341fafc1dfe9bcf36360e6b84-2.jpg"></td></tr>
</tbody></table>
Cher membre Free adsl,

attention !

Tentative d'intrusion dans votre compte Free adsl!
Quelqu'un avec le IP address 149.225.126.87 a essaye d'acceder a votre compte personnel!
Nous vous prions de bien vouloir vous connecter a votre compte Free adsl Et mettre a jour vos informations confidentielles !
Vous avec un delai de 24h pour retablir l? acces a votre compte sans ceux Ce dernier sera definitivement supprime ! acceder a Votre Compte .: 

 

Vous pouvez egalement confirmer votre adresse email en vous connectant a votre compte Free adsl a l'adresse suivante :


<a href="http://www.guarany.ch/plugins/xmlrpc/Free.fr/" target="_blank">

http://www.Free.admin.fr/<...b>
*Important*
Nous avons demande quelques renseignements complementaires, ce qui va etre le cadre de processus d'ouverture de session securise. Ces informations complementaires seront posees lors de votre connexion avenir pour la securite, s'il vous plait fournir toutes les informations sur ces completement et correctement autrement pour des raisons de securite ,nous devons fermer votre compte temporairement.

Sirex007

jeudi 11 juin 2009 à 08:27

Encore une nouvelle tentative de pishing :

Citation

Nous avons recemment examine votre compte et nous avons besoin de plus d'informations sur votre entreprise pour nous permettre de fournir un service ininterrompu. Jusqu a ce que nous pouvons recueillir cette information, l'acces a votre compte de caracteristiques sensibles sera limite. Nous tenons a retablir votre acces le plus rapidement possible. Nous nous excusons pour la gene occasionnee..
= Comment puis-je retablir l'acces a mon compte?

S'il vous plait visiter le Centre et de la resolution complete des mesures pour supprimer les limitations.

Copyright © 1999-2009 free. All rights reserved.

Avec un lien qui pointe vers http://activer-free.com/subscribe.free.fr/...querdessus.html qui est donc un site bidon (c'est moi qui ai ajouter le fautlienspournepascliquerdessus.html pour que quelqu'un ne clique pas dessus par erreur ;-) )

corrector

jeudi 11 juin 2009 à 09:00

Citation (Sirex007 @ vendredi 17 avril 2009 à 09:42)

Bonjour, nouvelle tentative de pishing reçue cette nuit :

Citation

<a href="http://www.guarany.ch/plugins/xmlrpc/Free.fr/" target="_blank">

http://www.Free.admin.fr/

C'est tout ce qu'il faut regarder : le lien est bidon.

Et en plus il est faux : free.admin.fr au lieu de free.fr!!! Ces abrutis se sont gourés dans le lien maquillé!

Je le répète : aucun mail ne devrait contenir un lien de la forme :
<a href="http://blah">http://bloh</a>

Et même, cela devrait être illégal.

Free inséré de tels liens maquillés dans sa newsletter destinée aux abonnés haut-débit par le passé

, mais a cessé cette pratique parfaitement irresponsable depuis octobre 2008.

corrector

jeudi 11 juin 2009 à 09:05

Citation (Sirex007 @ jeudi 11 juin 2009 à 10:27)

1) Dans Firefox, on peut signaler que le site est contrefait (service Google).

2) Ces crétins ont copiés l'ancienne interface!

Cela fait des mois que le thème visuel a changé, du bleu au rouge! Comment ne pas remarquer la différence?

Sirex007

jeudi 11 juin 2009 à 12:12

Citation (corrector @ jeudi 11 juin 2009 à 11:05)

1) Dans Firefox, on peut signaler que le site est contrefait (service Google).

C'est quoi la manip pour le faire?

Sirex007

jeudi 11 juin 2009 à 12:14

Citation (Sirex007 @ jeudi 11 juin 2009 à 14:12)

C'est quoi la manip pour le faire?

Je crois que j'ai trouvé

il faut faire dans le menu de firefox : "?" -> "Signaler un site contrefait..."

corrector

jeudi 11 juin 2009 à 12:28

Citation (Sirex007 @ jeudi 11 juin 2009 à 14:14)

Je crois que j'ai trouvé

il faut faire dans le menu de firefox : "?" -> "Signaler un site contrefait..."

Anéfé.

Casimir

vendredi 18 septembre 2009 à 04:41

Je viens de recevoir un autre message précisant que Free avait bien reçu ma demande de résiliation, etc ... et en cas de changement d'avis, je peux cliquer sur un lien...
Je pense que l'assistance de Free devrait proposer dans son interface la possibilité au client de faire remonter les données techniques des mails supposés frauduleux, une façon pour Free d'engager les recherches ou poursuites...

corrector

vendredi 18 septembre 2009 à 07:59

Citation (Casimir @ vendredi 18 septembre 2009 à 06:41)

Envoie le mail complet (tous les en-têtes), le mieux étant de faire "Forward" ou "Transférer" à "abuse"@free.

Ils peuvent :
- mettre en place des filtres sur l'anti-spam
- se plaindre à l'hébergeur qui bloquera la page
- nullrouter ce serveur sur le réseau proxad (avec dommage collatéral pour les autres sites qui partagent l'IP

). (Il y aurait un peu à dire sur les nullroutages sortant de Free.)

Tu peux aller sur le site avec Firefox et signaler que c'est une escroquerie à Google (menu "?" -> signaler un site contrefait). Ces signalements servent à informer les utilisateurs de ce service : pour Firefox, vérifier que l'option est activée dans Outils -> Sécurité -> Bloquer les sites signalés comme étant des contrefaçons; elle est activée par défaut).

L'avantage du signalement Google, c'est :
- un seul site est bloqué, pas une IP (les autres co-hébergés n'y sont pour rien)
- le signalement indique explicitement que c'est un site d'arnaque : donc le visiteur est informé qu'il ne s'agit pas juste d'une panne ou opération de maintenance
- le signalement dure un peu après que le site soit rétabli (si c'est légitime piraté et pas un site créé uniquement pour l'arnaque)

Je sais que le dernier point est critiqué par certains (dont le site a été piraté), mais pour moi c'est une bonne chose de mettre un peu la honte à une société dont le site piraté (et oui, je suis libéral...). Une société qui se fait pirater ne met pas seulement en danger ses données propres, elle peut aussi mettre en danger celles de ses clients. Ici on parle d'un site web et pas des serveurs internes de la société, mais quand le site n'est pas juste une vitrine mais sert aux clients à communiquer des informations critiques (comme les n° de CB...).

Je suis pour que les clients soient informés des ratages de leurs fournisseurs, et dans ce domaine je préfère faire trop peur que pas assez, ça fait parti des éléments d'information du consommateur. (Ce qui ne veut pas dire créer des psychoses à partir d'aucune information vérifiée évidemment.)

Citation (Casimir @ vendredi 18 septembre 2009 à 06:41)

Je pense que l'assistance de Free devrait proposer dans son interface la possibilité au client de faire remonter les données techniques des mails supposés frauduleux, une façon pour Free d'engager les recherches ou poursuites...

Pour les poursuites, il faudrait, avant que le site ne soit bloqué par l'hébergeur, qu'un service de police (pas une officine privée!) spécialisé (donc compétent en informatique) entre dans le formulaire de fishing de vraies-fausses informations bancaires (des comptes appartenant à la police spécialement marqués) et attendre qu'une transaction bancaire les utilise.

Je n'ai pas connaissance de l'existence d'un tel service.

corrector

vendredi 18 septembre 2009 à 08:46

Citation (Sirex007 @ vendredi 17 avril 2009 à 09:42)

Free adsl, On regarde toujours en avant pour la haute securite de nos clients

Le vendeur de ce logiciel de traduction automatique n'a pas de quoi être fier.

val1984

vendredi 18 septembre 2009 à 09:56

Citation (Casimir @ vendredi 18 septembre 2009 à 06:41)

Je viens de recevoir un autre message précisant que Free avait bien reçu ma demande de résiliation, etc ... et en cas de changement d'avis, je peux cliquer sur un lien...

Le lien dans le mail est un faux?
Tu es sûr que ce n'est pas un vrai mail provenant de Free?

Casimir

vendredi 18 septembre 2009 à 10:40

Citation (val1984 @ vendredi 18 septembre 2009 à 11:56)

Le lien dans le mail est un faux?
Tu es sûr que ce n'est pas un vrai mail provenant de Free?

Le mail est émis par "hautdebit@freetelecom.fr". La ligne à laquelle je suis supposé être rattaché ne me correspond pas. Le lien est : http://subscribe.free.fr/login/ (aussi bien dans le texte que du message qu'en survol avec la souris)
Simplement pour cette erreur de numéro et par le fait que je n'ai pas demandé quoi que ce soit, je sous-entends qu'il s'agit d'un mail frauduleux pour m'inciter à cliquer et rentrer mes identifiants.
S'il s'était agit d'un piratage de mon compte avec demande de résiliation effective, le numéro d'abonné serait conforme (c'est ma logique, peut-être que je me trompe).
En tout cas, je suis tes conseils corrector.

val1984

vendredi 18 septembre 2009 à 11:41

Citation (Casimir @ vendredi 18 septembre 2009 à 12:40)

Donc ça laisse à penser qu'il s'agit d'un mail légitime.

Citation (Casimir @ vendredi 18 septembre 2009 à 12:40)

Simplement pour cette erreur de numéro et par le fait que je n'ai pas demandé quoi que ce soit, je sous-entends qu'il s'agit d'un mail frauduleux pour m'inciter à cliquer et rentrer mes identifiants.

Ce n'est pas plutôt quelqu'un pour qui tu as fait l'inscription chez Free en mettant ton adresse mail qui résilie?

Citation (Casimir @ vendredi 18 septembre 2009 à 12:40)

S'il s'était agit d'un piratage de mon compte avec demande de résiliation effective, le numéro d'abonné serait conforme (c'est ma logique, peut-être que je me trompe).

Oui, c'est sûr

Casimir

vendredi 18 septembre 2009 à 16:56

Citation (val1984 @ vendredi 18 septembre 2009 à 13:41)

Ce n'est pas plutôt quelqu'un pour qui tu as fait l'inscription chez Free en mettant ton adresse mail qui résilie?

En effet val1984, tu as raison, je suis passé par 118218.fr pour identifier ce n° qui correspond à ce quelqu'un. Mon signalement est donc hors sujet

On va dire que c'était pour tester ton esprit de déduction...

En tout cas merci à tous pour vos réponses.
Du coup, abuse@free.fr ne va pas comprendre mon signalement...

et Google qui va référencer http://subscribe.free.fr/login/ comme un site frauduleux...

corrector

vendredi 18 septembre 2009 à 23:11

Citation (Casimir @ vendredi 18 septembre 2009 à 18:56)

Du coup, abuse@free.fr ne va pas comprendre mon signalement...

et Google qui va référencer http://subscribe.free.fr/login/ comme un site frauduleux...

Tu as signalé subscribe.free.fr comme site frauduleux chez Google???

Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'informations, la mise en page et les images, veuillez cliquer ici.