{"id":546,"date":"2009-10-11T17:30:37","date_gmt":"2009-10-11T15:30:37","guid":{"rendered":"https:\/\/www.vdigital.org\/sharing\/?p=546"},"modified":"2009-10-22T21:47:01","modified_gmt":"2009-10-22T19:47:01","slug":"phishing-passage-a-lorange","status":"publish","type":"post","link":"https:\/\/www.vdigital.org\/sharing\/2009\/10\/phishing-passage-a-lorange\/","title":{"rendered":"Phishing: passage \u00e0 l’Orange"},"content":{"rendered":"

L’objectif de ce sujet est de vous pr\u00e9senter les \u00e9l\u00e9ments qui me permettent de dire ce mail est une tentative de \u00ab\u00a0phishing\u00a0\u00bb.<\/p>\n

Avant tout, ma d\u00e9finition du phishing: Vous solliciter pour obtenir des acc\u00e8s ill\u00e9gaux.<\/p>\n

Cela peut concerner votre compte en banque, mais \u00e9galement votre abonnement ADSL, etc.<\/p>\n

Premier \u00e9l\u00e9ment de jugement: Le titre du message.
\nDans le cas pr\u00e9sent, je re\u00e7ois: \u00ab\u00a0Veuillez retablir l’acces a votre compte\u00a0\u00bb
\n1 – Si je ne suis pas chez Orange: Je n’ai pas de compte chez eux et j’en conclus qu’il s’agit sans doute d’une tentative de Phishing.<\/p>\n

2 – Si je suis chez Orange, pour lire ce mail, est-ce que je l’ai fait via ma connexion Orange, si oui, c’est \u00e9vident qu’Orange n’a nullement besoin de que je communique avec eux sur mon compte, donc? Je vous laisse conclure ce point.<\/p>\n

3 – Admettons que je sois chez Orange et que je re\u00e7oive ce mail sur une autre adresse (gmail ou hotmail,…) et que je n’ai pas les moyens temporairement de v\u00e9rifier l’accessibilit\u00e9 de mon compte. Le titre du mail comporte 3 fautes d’orthographe en 6 mots. Croyez-vous qu’Orange s’adresse de cette fa\u00e7on \u00e0 ses clients.<\/p>\n

4 – Voyons le contenu du message (J’ai cass\u00e9 le lien):<\/p>\n

Bonjour Chez Client Adsl,<\/p>\n

En raison de preoccupations concernant la securite et
\nl’integrite de Orange<\/p>\n

compte, nous avons publie ce message d’avertissement.<\/p>\n

Il a ete porte a notre
\nattention que votre compte d’acces a l’information doit etre .mise a jour dans le cadre de
\nla poursuite de nos<\/p>\n

engagement a proteger votre compte et de reduire les cas de
\nfraude sur notre site<\/p>\n

Si vous pouviez s’il vous plait prendre 5-10
\nminutes<\/p>\n

devotre experience en ligne et mettre a jour vos dossiers personnels que vous
\n ne rencontrerez<\/p>\n

de futures problemes avec le service en ligne information et nous
\npermettre de resoudre ce probleme dans les plus bref delai<\/p>\n

<\/p>\n

Activez Votre compte Orange<\/font><\/a>
Merci d’utiliser
\nOrange.<\/p>\n

a tres bientot,<\/p>\n

Toute l’equipe Orange<\/p><\/blockquote>\n

Notez que les accents sont toujours absents, les apostrophes ne sont pas toujours utilis\u00e9es, des majuscules inutiles sont utilis\u00e9es, les pluriels ne sont pas respect\u00e9s, un espace est manquant, aucun de ces termes ne serait choisi par une \u00e9quipe commerciale digne de ce nom pour d\u00e9signer votre compte. Orange fait relire ses messages \u00e0 destination d’un grand nombre de clients par des juristes. Aucun doute, ce message ne provient ni des \u00e9quipes commerciales, ni m\u00eame des \u00e9quipes techniques.<\/p>\n

5 – Le lien (d’origine) dans le message, va permettre au pirate d’obtenir des renseignements sur votre compte.
\n\"phishing\"
\nSi vous naviguez avec Chrome (navigateur de Google, Cf. l’image ci-dessus), vous pouvez \u00eatre prot\u00e9g\u00e9 (sans avoir une garantie totale).<\/p>\n

6 – Le lien ne pointe pas sur l’adresse officielle d’Orange. R\u00e9duire l’url pour savoir quel est le site qui a \u00e9t\u00e9 hack\u00e9 et malgr\u00e9 tout ses efforts h\u00e9berge une page de phishing.
\nJe ne cite pas le site en question car rien ne prouve qu’il soit responsable du module indiqu\u00e9 dans le lien du message.<\/p>\n

Vous auriez d\u00fb aboutir apr\u00e8s votre connexion ht<\/b>tp:\/\/id.orange.fr\/auth_user\/… \u00e0 une page s\u00e9curis\u00e9e: ht<\/b>tps:\/\/…<\/p>\n

A lieu de cela: https:\/\/ … \/images\/Conexion%20-%2003\/Conexion%20-%2003\/info.htm
\nUn webmaster ne place pas un module de renseignement de compte dans un r\u00e9pertoire d’images.
\nLe contenu de la page est un vraie copie pure et simple d’une page d’Orange.<\/p>\n

7 – On peut analyser l’ent\u00eate du message pour voir que l’exp\u00e9diteur n’est pas Orange (j’ai masqu\u00e9 mon email).
\nm\u00eame si le \u00ab\u00a0From\u00a0\u00bb pourrait le laisser croire.<\/p>\n

From – Sun Oct 11 09:55:23 2009
\n…
\nReceived: (qmail 13495 invoked from network); 11 Oct 2009 06:14:31 -0000
\nReceived: from mx21-g26.nospam.fr (HELO ohioclinic.com) <\/strong>(212.27.42.83)
\n by mrelay8-g25.nospam.fr with SMTP; 11 Oct 2009 06:14:31 -0000
\nReceived: from ohioclinic.com<\/strong> ([99.25.147.222])
\n\tby mx2-g20.nospam.fr (MXproxy) for nospam[@]nospam.fr ;
\n\tSun, 11 Oct 2009 08:14:31 +0200 (CEST)
\nX-ProXaD-SC: state=HAM score=0
\nReceived: from 2ao1z ([74.81.197.89]) by ohioclinic.com with Microsoft SMTPSVC(6.0.3790.3959);
\n\t Sun, 11 Oct 2009 02:12:21 -0400
\nFrom: \u00ab\u00a0Centre Orange\u00a0\u00bb
\nSubject: Veuillez retablir l’acces a votre compte<\/p><\/blockquote>\n

Attention <\/strong>: Notez bien que le site ohioclinic.com n’est en rien responsable a priori des spams qu’il exp\u00e9die, il compte parmi les victimes de l’arnaque.<\/p>\n

8 – Phishing visant le fournisseur d’acc\u00e8s Orange<\/a> (20\/05\/09) : Si vous \u00eates victime de cette arnaque, sachez qu’Orange en est une autre, son image de marque est fortement d\u00e9t\u00e9rior\u00e9e par ce genre d’attaque. <\/p>\n","protected":false},"excerpt":{"rendered":"

L’objectif de ce sujet est de vous pr\u00e9senter les \u00e9l\u00e9ments qui me permettent de dire ce mail est une tentative de \u00ab\u00a0phishing\u00a0\u00bb. Avant tout, ma d\u00e9finition du phishing: Vous solliciter pour obtenir des acc\u00e8s ill\u00e9gaux. Cela peut concerner votre compte en banque, mais \u00e9galement votre abonnement ADSL, etc. Premier \u00e9l\u00e9ment de jugement: Le titre du<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[9],"tags":[],"class_list":["post-546","post","type-post","status-publish","format-standard","hentry","category-astuces"],"featured_image_src":null,"featured_image_src_square":null,"author_info":{"display_name":"VDigital","author_link":"https:\/\/www.vdigital.org\/sharing\/author\/admin\/"},"jetpack_featured_media_url":"","jetpack_shortlink":"https:\/\/wp.me\/pZ90J-8O","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/www.vdigital.org\/sharing\/wp-json\/wp\/v2\/posts\/546","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.vdigital.org\/sharing\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.vdigital.org\/sharing\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.vdigital.org\/sharing\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.vdigital.org\/sharing\/wp-json\/wp\/v2\/comments?post=546"}],"version-history":[{"count":20,"href":"https:\/\/www.vdigital.org\/sharing\/wp-json\/wp\/v2\/posts\/546\/revisions"}],"predecessor-version":[{"id":625,"href":"https:\/\/www.vdigital.org\/sharing\/wp-json\/wp\/v2\/posts\/546\/revisions\/625"}],"wp:attachment":[{"href":"https:\/\/www.vdigital.org\/sharing\/wp-json\/wp\/v2\/media?parent=546"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.vdigital.org\/sharing\/wp-json\/wp\/v2\/categories?post=546"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.vdigital.org\/sharing\/wp-json\/wp\/v2\/tags?post=546"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}