Une nouvelle campagne de Phishing (hameçonnage) est en cours depuis fin décembre : de nombreux emails sont reçus, semblant émaner des principales banques françaises, prétextant le blocage d’une pièce importante à consulter, ou bien demandant une validation des informations personnelles

Cette nouvelle campagne de phishing diffère un peu des précédentes par le fait qu’elle émane cette fois-ci directement de France, et comporte donc beaucoup moins de fautes d’orthographe et de grammaire, les pirates étant probablement français. Le risque de piéger les internautes est relativement important cette fois-ci, car les pages d’accueil et de connexion aux principaux sites bancaires français sont parfaitement imitées.

Mais alors quels signes peuvent nous permettre de détecter l’arnaque ?

Analyse du contenu du mail

En parcourant rapidement un mail reçu, il est possible de ne pas se rendre compte immédiatement de la tentative d’hameçonnage, mais en y regardant de plus près, on peut détecter quelques éléments non conforme permettant de confirmer le doute :

  • De ou From: dans ce premier exemple (cf. image ci-dessous), l’email de l’expéditeur affiche Creditmutuel.fr, mais lorsque l’on passe la souris sur l’adresse (sans cliquer), ou bien lorsque le logiciel de courrier affiche directement le nom de l’expéditeur + l’adresse mail, on peut alors connaître le véritable email de l’expéditeur : avisveriffife001@mb.mail-avis.verifies.com qui n’a donc absolument aucun rapport avec le Crédit Mutuel. De plus, et comme souvent, l’adresse mail de l’expéditeur semble quelque peu farfelue et ne présente aucun caractère sérieux. On peut même dire qu’il n’y a aucune tentative intelligente d’imiter une adresse mail bancaire…
  • Sujet: le gestionnaire de courrier a eu l’amabilité de préfixer le sujet avec la mention [SPAM], ce qui est une indication importante qui doit attirer notre attention
  • Texte: dans le corps du message, lorsque l’on passe la souris (sans cliquer) sur le lien Espace Client, l’URL du serveur de la banque n’est qu’une adresse IP et quelque chose qui ressemble à un espace public, sans aucune sécurité (http:// et non https://) : alors que l’URL de connexion à l’espace client du Crédit Mutuel est https://www.creditmutuel.fr/authentification.html

 

Un second email de phishing, provenant probablement de la même équipe de pirates, affiche pratiquement les mêmes éléments non conformes :

  • De ou From: l’email de l’expéditeur affiche CIC, mais  le véritable email de l’expéditeur : derpala@mon-consultant.info qui n’a donc absolument aucun rapport avec le CIC
  • Sujet: la mention [SPAM] est une indication importante qui doit attirer notre attention
  • Texte: dans le corps du message, le lien Espace Client affiche également une adresse IP sans aucune sécurité (http:// et non https://) : alors que l’URL de connexion à l’espace client du CIC est https://www.cic.fr/fr/authentification.html

Les éléments détectables dans le dernier exemple sont presque identiques :

  • De ou From: l’email de l’expéditeur affiche OV Mail (quel rapport avec le Crédit agricole ?), mais  le véritable email de l’expéditeur : info@secure-mails.fr 
  • Sujet: la mention [SPAM] est une indication importante qui doit attirer notre attention
  • Texte: dans le corps du message, le lien Messagerie affiche une URL sécurisée cette fois-ci, mais toujours sans aucun rapport avec le Crédit Agricole : . alors que l’URL de connexion à l’espace client du Crédit Agricole (Sud Rhône-Alpes par exemple) est https://www.ca-sudrhonealpes.fr/particuliers.html

 

Analyse du site frauduleux

Lorsque l’on clique sur le lien Messagerie dans l’exemple précédent (ne pas cliquer !!), une page de connexion à l’espace client du Crédit Agricole extrêmement bien imitée s’affiche et pourrait tromper l’internaute qui n’aurait pas encore détecté suffisamment de signes pour voir venir l’arnaque :

  • l’URL affiche cette fois-ci ce qui, cette fois-ci, donne l’impression d’un peu plus de sérieux, même si cela n’a toujours rien à voir avec une véritable URL du Crédit Agricole
  • la zone de saisie du numéro de compte et du code personnel reprend les mêmes principes de fonctionnement que le véritable écran de connexion du Crédit Agricole : zone de saisie du n° de compte + grille à cliquer pour le code personnel

 

Dans le cas présent, et fort heureusement, si l’on saisit un code postal, un numéro de compte et un mot de passe, l’antivirus de l’ordinateur nous prévient du caractère frauduleux du site pirate et bloque la connexion :

 

Tous les antivirus cependant ne préviennent pas (ou bien préviennent pour certains sites frauduleux et pas pour d’autres, n’ayant peut-être pas encore été mis à jour), mais parfois heureusement, c’est le navigateur qui détecte et informe de la tentative de phishing :

 

Que faire en cas de réception d’un mail de ce type ?

Dans tous les cas, après avoir détecté les signes d’une tentative d’hameçonnage, ne pas cliquer sur les liens affichés dans le texte et jeter immédiatement le mail à la corbeille

Rappel : d’une manière générale, ne jamais cliquer sur un lien reçu dans un mail, mais toujours utiliser les raccourcis que vous avez créés dans la barre de favoris de votre navigateur, ou bien à défaut, rechercher sur Google le site web légitime de la banque concernée et accéder à la page d’accueil, puis depuis la page d’accueil, cliquer sur le lien Espace Client

Et que faire si j’ai déjà communiqué mes informations personnelles sur un site frauduleux ?

(Extrait de la Fiche Réflexe Hameçonnage du site Cybermalveillance.fr)

Si vous avez malencontreusement communiqué des éléments sur vos moyens de paiement ou si vous avez constaté des débits frauduleux sur votre compte, FAITES OPPOSITION IMMÉDIATEMENT auprès de votre organisme bancaire ou financier et déposez plainte au commissariat de police ou à la gendarmerie la plus proche.

  • Si vous avez constaté que des éléments personnels servent à usurper votre identité, DÉPOSEZ PLAINTE au commissariat de police ou à la gendarmerie la plus proche
  • Si vous êtes victime d’une usurpation de votre adresse de messagerie ou de tout autre compte, CHANGEZ IMMÉDIATEMENT VOS MOTS DE PASSE
  • Si vous avez reçu un message douteux sans y répondre, SIGNALEZ-LE À SIGNAL SPAM (Signal-spam.fr)
  • Vous pouvez également SIGNALER UNE ADRESSE DE SITE D’HAMEÇONNAGE À PHISHING INITIATIVE (Phishing-initiative.fr) qui en fera fermer l’accès
  • Pour être conseillé en cas d’hameçonnage, contactez INFO ESCROQUERIES AU 0 805 805 817 (numéro gratuit)

Consulter la fiche Réflexe Hameçonnage complète

Plus d’informations :

Campagne de Phising par email, sous l’identité des principales banques françaises