Journal Phishing ou pas phishing ? Pas toujours évident.

Posté par . Licence CC by-sa.
18
19
nov.
2019

Bonjour chers gens de LinuxFr,
Je suis tombé sur cet article ce matin. Des communications qui ressemblent à du phishing mais qui n'en sont pas, mais ça ne devrait pas exister. Ah mince, si, une petite entreprise française appelée La Poste fait ça.

Prenons un lien dans un mail au pif de la poste : Pour toute information complémentaire, nous vous invitons à contacter notre Service Clients et ça pointe vers http://eservices-laposte.fr/Go/index.cfm?WL=XXXX&WS=XXXXXXXX_XXXXX&WA=XXXX. Hum, "eservices-laposte.fr" c'est suspect quand même, non ? Et .cfm ? Jamais vu cet extension, c'est bizarre.
Ah et ça n'est pas le seul exemple "Répondre au questionnaire >> " http://www.regard-client-laposte.com/enquete/XX/laposte/reclanat/XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX/. regard-client-laposte.com c'est suspect, non ? Eh ben c'est encore un vrai site authentique.

Avez-vous des exemples savoureux de communications légitime mais suspectes à souhaits ?

  • # Explication

    Posté par (page perso) . Évalué à 10 (+12/-0).

    Je n'ai pas d'exemple aussi intéressant, en revanche j'ai une idée de la raison de ces pratiques. Ces entreprises sous-traitent largement certains traitements, ici un service client et un questionnaire, et le prestataire peut utiliser un nom de domaine choisi par le client. Ce nom de domaine peut être sous celui du client, à condition que le client soit d'accord et capable d'effectuer une délégation DNS. Assez souvent, le client ne veut pas, parce que sa DSI ne l'autorise pas pour de prétendues raisons de sécurité, ou veut bien mais est incapable de le faire correctement. Du coup, le sous-traitant achète un nom de domaine qui ressemble à celui du client, ou fait acheter ce nom de domaine par le client, peu importe.

  • # "Et .cfm ? Jamais vu cet extension,"

    Posté par (page perso) . Évalué à 10 (+11/-0).

    Pour la culture, c'est l'extension standard des fichiers écrits en ColdFusion.

  • # Autre exemple

    Posté par (page perso) . Évalué à 9 (+8/-0).

    Une enquête a priori légitime de Pôle-Emploi, avec comme expéditeur: votre-inscription@enquete-ipsos-poleemploi.com

    Les liens dans le mail sont de la forme:
    https://vb3265.customervoice360.com/uc/project_manager/abc1/?code=8442bc653e0c38fb

    J'attendais au minimum un sous-domaine ipsos.com ou pôle-emploi.fr. J'ai pas répondu.

    Un LUG en Lorraine : https://enunclic-cappel.fr

    • [^] # Re: Autre exemple

      Posté par . Évalué à 7 (+5/-0). Dernière modification le 19/11/19 à 16:01.

      Ça n'en fait pas une bonne raison mais j'imagine que ce genre de conneries existent parce que ces enquêtes sont sous-traités à une société et qu'il n'y a aucune coordination en terme de gestion des certificats et dns entre le client pôle-emploi et le sous-traitant.

      Du coup le sous-traitant s'emmerde pas et achète un domaine par client.

      • [^] # Re: Autre exemple

        Posté par (page perso) . Évalué à 5 (+4/-0).

        Le sous-traitant (Ipsos) a bien utilisé un domaine à lui, mais pas franchement parlant, difficile à vérifier. Il aurait bien pu utiliser son domaine ipsos.com. Avec ces façons de faire, comment on fait pour détecter du vrai phising?

        Un LUG en Lorraine : https://enunclic-cappel.fr

  • # Tellement pas évident que je viens de me faire avoir

    Posté par (page perso) . Évalué à 4 (+2/-0).

    Le bon côté (?) c'est que je m'en suis aperçue tout de suite et que j'ai fait ce qu'il fallait (j'espère) en signalant à la banque dans les minutes qui suivent.

    OS préféré Mageia 6 et Mageia 7, CMS préféré SPIP, suite bureautique préférée LibreOffice, logiciel de dessin préféré Inkscape.

  • # Vrai faux phishing

    Posté par . Évalué à 8 (+6/-0). Dernière modification le 20/11/19 à 07:43.

    En marge de ce journal, j'ai une anecdote sympa : la DSI qui envoie un faux phishing aux employés pour les sensibiliser au phishing.

    C'était plutôt bien fait : la direction voulait évaluer l'utilisation de Mac au bureau (en lieu et place de Windows) et les 500 premiers à répondre (grande entreprise, 100k employés) allaient donc passer sur Mac pour évaluation. Je te dis pas le rush immédiat, sauf que évidemment le lien pointait vers un site légèrement différent de la DSI, avec récupération de plein d'infos perso, que les gens remplissaient tout gaiement.

    Avec des collègues on était très étonnés de la démarche mais on n'a pas immédiatement flairé l'entourloupe jusqu'à ce qu'on remarque un détail… les sous-traitants aussi avaient reçu cet email : impossible, donc phishing. Et en regardant en détail, ça puait le phishing en effet (notamment par l'URL, créée qques jours auparavant).

    L'histoire a bcp fait parler dans les bureaux, et l'opération sensibilisation a été plutôt réussie je pense.

    En théorie, la théorie et la pratique c'est pareil. En pratique c'est pas vrai.

    • [^] # Re: Vrai faux phishing

      Posté par (page perso) . Évalué à 8 (+7/-1).

      Et en regardant en détail, ça puait le phishing en effet (notamment par l'URL, créée qques jours auparavant).

      Tu rigoles, mais j'ai déjà vu des gens se faire insulter par la DSI car ils refusaient de remplir les formulaires qui puaient le fishing, alors que c'était une vraie demande de la DSI.

      Ou comment se plaindre des trous après avoir incité les gens… Si déjà on pouvait sensibiliser les DSI…

      • [^] # Re: Vrai faux phishing

        Posté par . Évalué à 1 (+0/-0).

        On a eu un cas un peu pareil dans la boite où je bossais (mais dit sans insulte).

        Dans le cadre d'une campagne de sensibilisation à la sécurité informatique, on avait reçu un mail d'une boite inconnue au bataillon alors que notre boite était plutôt grande (plus de 10.000 employés) et qu'en général, sur ce genre de sujet c'étaient toujours des adresses mails internes qui étaient utilisées.

        Quelques heures plus tard, un mail du service informatique nous expliquait que le mail précédent n'était pas du phishing.

        Surtout, ne pas tout prendre au sérieux !

Envoyer un commentaire

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.