Phishing: passage à l’Orange

L’objectif de ce sujet est de vous présenter les éléments qui me permettent de dire ce mail est une tentative de « phishing ».

Avant tout, ma définition du phishing: Vous solliciter pour obtenir des accès illégaux.

Cela peut concerner votre compte en banque, mais également votre abonnement ADSL, etc.

Premier élément de jugement: Le titre du message.
Dans le cas présent, je reçois: « Veuillez retablir l’acces a votre compte »
1 – Si je ne suis pas chez Orange: Je n’ai pas de compte chez eux et j’en conclus qu’il s’agit sans doute d’une tentative de Phishing.

2 – Si je suis chez Orange, pour lire ce mail, est-ce que je l’ai fait via ma connexion Orange, si oui, c’est évident qu’Orange n’a nullement besoin de que je communique avec eux sur mon compte, donc? Je vous laisse conclure ce point.

3 – Admettons que je sois chez Orange et que je reçoive ce mail sur une autre adresse (gmail ou hotmail,…) et que je n’ai pas les moyens temporairement de vérifier l’accessibilité de mon compte. Le titre du mail comporte 3 fautes d’orthographe en 6 mots. Croyez-vous qu’Orange s’adresse de cette façon à ses clients.

4 – Voyons le contenu du message (J’ai cassé le lien):

Bonjour Chez Client Adsl,

En raison de preoccupations concernant la securite et
l’integrite de Orange

compte, nous avons publie ce message d’avertissement.

Il a ete porte a notre
attention que votre compte d’acces a l’information doit etre .mise a jour dans le cadre de
la poursuite de nos

engagement a proteger votre compte et de reduire les cas de
fraude sur notre site

Si vous pouviez s’il vous plait prendre 5-10
minutes

devotre experience en ligne et mettre a jour vos dossiers personnels que vous
ne rencontrerez

de futures problemes avec le service en ligne information et nous
permettre de resoudre ce probleme dans les plus bref delai

Activez Votre compte Orange
Merci d’utiliser
Orange.

a tres bientot,

Toute l’equipe Orange

Notez que les accents sont toujours absents, les apostrophes ne sont pas toujours utilisées, des majuscules inutiles sont utilisées, les pluriels ne sont pas respectés, un espace est manquant, aucun de ces termes ne serait choisi par une équipe commerciale digne de ce nom pour désigner votre compte. Orange fait relire ses messages à destination d’un grand nombre de clients par des juristes. Aucun doute, ce message ne provient ni des équipes commerciales, ni même des équipes techniques.

5 – Le lien (d’origine) dans le message, va permettre au pirate d’obtenir des renseignements sur votre compte.

Si vous naviguez avec Chrome (navigateur de Google, Cf. l’image ci-dessus), vous pouvez être protégé (sans avoir une garantie totale).

6 – Le lien ne pointe pas sur l’adresse officielle d’Orange. Réduire l’url pour savoir quel est le site qui a été hacké et malgré tout ses efforts héberge une page de phishing.
Je ne cite pas le site en question car rien ne prouve qu’il soit responsable du module indiqué dans le lien du message.

Vous auriez dû aboutir après votre connexion http://id.orange.fr/auth_user/… à une page sécurisée: https://…

A lieu de cela: https:// … /images/Conexion%20-%2003/Conexion%20-%2003/info.htm
Un webmaster ne place pas un module de renseignement de compte dans un répertoire d’images.
Le contenu de la page est un vraie copie pure et simple d’une page d’Orange.

7 – On peut analyser l’entête du message pour voir que l’expéditeur n’est pas Orange (j’ai masqué mon email).
même si le « From » pourrait le laisser croire.

From – Sun Oct 11 09:55:23 2009
…
Received: (qmail 13495 invoked from network); 11 Oct 2009 06:14:31 -0000
Received: from mx21-g26.nospam.fr (HELO ohioclinic.com) (212.27.42.83)
by mrelay8-g25.nospam.fr with SMTP; 11 Oct 2009 06:14:31 -0000
Received: from ohioclinic.com ([99.25.147.222])
by mx2-g20.nospam.fr (MXproxy) for nospam[@]nospam.fr ;
Sun, 11 Oct 2009 08:14:31 +0200 (CEST)
X-ProXaD-SC: state=HAM score=0
Received: from 2ao1z ([74.81.197.89]) by ohioclinic.com with Microsoft SMTPSVC(6.0.3790.3959);
Sun, 11 Oct 2009 02:12:21 -0400
From: « Centre Orange »
Subject: Veuillez retablir l’acces a votre compte

Attention : Notez bien que le site ohioclinic.com n’est en rien responsable a priori des spams qu’il expédie, il compte parmi les victimes de l’arnaque.

8 – Phishing visant le fournisseur d’accès Orange (20/05/09) : Si vous êtes victime de cette arnaque, sachez qu’Orange en est une autre, son image de marque est fortement détériorée par ce genre d’attaque.