Reçu aujourd'hui :
Votre compte Webmail a dépassé sa limite de stockage de 20 Go qui est tel
que défini par votre administrateur, vous êtes en cours d'exécution sur
20.9GB, vous ne pouvez pas être en mesure d'envoyer ou de recevoir de
nouveaux e-mails jusqu'à ce que vous re-valider votre boîte aux lettres.
Pour re-valider votre boîte aux lettres, s'il vous plaît remplir le
formulaire ci-dessous et soumettre à l'action. Tous les champs sont
obligatoires; https://docs.google.com/spreadsheet/viewform?formkey=dFhfS3V2ejdsR3RBZlpwMmJ5M24zUmc6MQ
Je cherche l'arnaque sur l'URL, mais non, c'est bien un lien vers google. Si on regarde de très près, on voit que c'est en fait un google docs, apparemment un formulaire au dessus d'une feuille de calcul… Malin comme usage détourné !
Heureusement que le design est un template standard et le message bourré de fautes, ça doit limiter l'impact.
# rapporter?
Posté par Maclag . Évalué à 6.
Il y a un moyen simple de rapporter ce genre de chose? Histoire qu'ils fassent le ménage rapidement quand même…
[^] # Re: rapporter?
Posté par Beurt . Évalué à 3.
oui… le lien tout en bas à gauche : signaler une utilisation abusive
[^] # Re: rapporter?
Posté par Bajazet (site web personnel) . Évalué à 2.
Plus fourbe tu meurs. Le lien renvoie vers un autre Google Doc du même propriétaire je suppose. Un hameçonnage bien ficelé.
Celui qui a échappé à la foudre en parle volontiers
[^] # Re: rapporter?
Posté par fravashyo . Évalué à 3.
pas sûr, j'ai l'impression que c'est bien vers google que ça envoie parce que l'url commence par https://docs.google.com/spreadsheet/reportabuse mais c'est pas très clair c'est vrai.
« I approve of any development that makes it more difficult for governments and criminals to monopolize the use of force. » Eric Raymond
[^] # Re: rapporter?
Posté par ZeroHeure . Évalué à 6.
Un lien en bas du document. Je l'ai fait.
Le hameçonnage via GoogleDocs est une pratique suffisamment courante pour que l'option soit proposée dans les cas d'utilisations abusives.
"La liberté est à l'homme ce que les ailes sont à l'oiseau" Jean-Pierre Rosnay
[^] # Re: rapporter?
Posté par Eric P. . Évalué à 2.
Et a priori ca a marché.
En effet maintenant la feuille Google Spreadsheet affiche:
"We're sorry. You can't access this item because it is in violation of our Terms of Service."
Excusez l'absence d'accents dans mes commentaires, j'habite en Australie et n'ai pas de clavier francais sous la main.
# Où est le problème ?
Posté par Strash . Évalué à 1.
Google Docs et sa fonctionnalité formulaire est justement faite pour collecter des informations, faire des sondages, etc… ceci de façon intuitive et facile d'accès.
Je ne comprends pas vraiment où est le problème, ce n'est pas parce qu'il y a google.com dans l'URL que tu reçois dans un email obscur qu'il faut entrer son mot de passe sans réfléchir, non ?
Le gars qui a fait ça aurait très bien pu le faire avec n'importe quel hébergeur, il aurait reçu autant de données. Personne (sauf les geeks) ne vérifient l'identité du fournisseur de la page. Le problème est au niveau de l'email de phishing qui a passé les contrôles de sécu au niveau du serveur mail ET au niveau de l'utilisateur qui donne son mot de passe sans réfléchir.
Bref, apprenez bien à vos utilisateurs que l'on ne leur demandera JAMAIS leur mot de passe, et ce genre de phishing ne fonctionnera pas. Autrement que ce soit sur un serveur google ou dans un questionnaire Facebook ne changera pas grand chose…
[^] # Re: Où est le problème ?
Posté par Gilles G. . Évalué à 7.
Je t'invite à essayer d'utiliser Facebook, viadeo, linkedin (et certainement beaucoup d'autres) pour te rendre compte que demander le mot de passe du compte mail est une pratique courante…
[^] # Re: Où est le problème ?
Posté par Strash . Évalué à 1.
Demander le mot de passe est pratique courante, j'en suis conscient. Mais je n'ai jamais vu un service te mettre un pistolet sous la tempe pour le faire.
Non, un mot de passe doit être privé et ne servir qu'à se loguer sur le service donné. Sinon il ne faut pas s'étonner d'avoir des problèmes. C'est cela que l'on doit apprendre aux utilisateurs, de la même façon que l'on a appris à son gamin qu'il faut faire attention à son téléphone/portefeuille quand on est en public.
D'ailleurs ça me choque quand le responsable informatique de ma boite viens me demander mon mot de passe pour faire une intervention sur mon poste. C'est pas avec un exemple donné comme ça que la sécurité de la boite va être maintenue.
[^] # Re: Où est le problème ?
Posté par Babelouest (site web personnel) . Évalué à 5.
Bienvenue dans le monde merveilleux de l'informatique.
Bien sûr que tu sais que donner son mot de passe c'est mal, moi aussi je le sais, et tout le monde devrait le savoir, mais malheureusement ce n'est pas le cas.
En revanche, on ne va pas arrêter de signaler et supprimer tous les sites de hameçonnage sous prétexte que les gens devraient faire gaffe…
[^] # Re: Où est le problème ?
Posté par Juke (site web personnel) . Évalué à 1.
Si suffisamment de personnes se font baiser ça peut être plus formateur que de signaler l'hameçonnage ou de faire de la prévention.
[^] # Re: Où est le problème ?
Posté par Babelouest (site web personnel) . Évalué à 6.
Je confirme, pour avoir une fois dans ma vie cliqué sur un lien par mégarde, et avoir libéré sur un réseau interne un virus qui n'était pas encore connu des antivirus, j'ai appris beaucoup ce jour-là.
C'est à dire que je n'ai pas appris à ne pas cliquer où il ne fallait pas, ca je le savais déjà, non, j'ai appris que ca pouvait arriver à n'importe qui, y compris moi.
De cette expérience, j'en ai retenu que former et sensibiliser toute la population n'empêchera pas les accidents de se produire, et j'ai arrêté de gueuler sur les gens qui cliquent n'importe où sans réfléchir "Non mais t'as vu ? Quelle bande de cons sans déconner ! On devrait leur retirer l'usage d'un ordinateur à ces idiots !". Il faut former les gens, et agir pour signaler un lien foireux dès qu'on en voit un.
[^] # Re: Où est le problème ?
Posté par Marotte ⛧ . Évalué à 6.
Pareil, j'ai pourri une installation de Wine une fois :)
[^] # Re: Où est le problème ?
Posté par Marotte ⛧ . Évalué à 2.
Pour avoir effectué du support en entreprise je t'avoue que c'est le plus pratique. D'une part souvent le service informatique a déjà accès à tes documents sans avoir besoin du mot de passe. C'est une question de déontologie de ne pas user de ce pouvoir. D'autre part il y a une solution très simple pour ça. Demander à l'utilisateur de changer le mot de passe qu'il vient de te donner juste après l'intervention.
Bref, quelques soient les solutions techniques mises en œuvre pour la sécurité il reste toujours une part de confiance à accorder à d'autres. Par exemple je pense que pas mal de techniciens chez mon fournisseur de services sont capables de consulter ma boîte mail ou accéder à mon FTP sans connaître mes mots de passe. Il faut en avoir conscience et éventuellement utiliser un
cryptagechiffrement fort comme AES-256 sur chaque fichier si la discrétion est vraiment nécessaire.[^] # Re: Où est le problème ?
Posté par Moogle . Évalué à 6.
Il y a quand même une différence entre avoir accès aux documents internes d'un employé, et avoir accès à son mot de passe. Le mot de passe peut potentiellement être le même sur d'autres sites. De toute façon, un administrateur devrait pouvoir changer le mot de passe d'un utilisateur, donc ne devrait pas avoir à demander.
Et puis, si on trouve normal de donner un mot de passe à un administrateur, tant qu'à faire, pourquoi ne pas trouver normal de le donner par mail quand on reçoit une demande de son FAI ? (qui sera cette fois un phishing à coup sûr)
[^] # Re: Où est le problème ?
Posté par GG (site web personnel) . Évalué à 4.
Il reste la possibilité à l'utilisateur de changer son e-mail, par un truc spécial pour l'admin, laisser l'admin faire ses tests (parce que je ne vois pas d'autres prétextes), et une fois que c'est fini, l'utilisateur rechange de nouveau son mot de passe.
Lorsque je créé des comptes pour certains services, généralement je test le fonctionnement avant de livrer le service, et j'invite l'utilisateur à changer le mot de passe que j'ai défini.
Globalement il y a un problème d'éducation. Il ne faut évidement jamais fournir son mot de passe.
Parfois il arrive que la personne croit être sur le site "officiel", mais la confusion est bien entretenue par les gros sites qui ont des authentifications dans de multiples endroits, et créés des redirections de pages un peu partout, par exemple hotmail.
La faute, ce n'est pas que par l'utilisateur. (et ça peut effectivement arriver à tout le monde)
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Où est le problème ?
Posté par Moogle . Évalué à 3.
C'est une possibilité oui, mais dans ce cas il faut bien demander à l'utilisateur de le faire (beaucoup n'y penseront pas et donneront leur mot de passe sans réfléchir).
[^] # Re: Où est le problème ?
Posté par elloco (site web personnel) . Évalué à 2.
Note que sur Google, tu peux créer des mots de passe que tu peux révoquer. Justement pour ne pas devoir donner ton vrai mot de passe, mais juste des "laisser passer".
Pour cela, il faut aller sur son compte -> sécurité -> "Autorisation des applications et des sites" et alors dans le bas "Générer un mot de passe".
Tu utilises ça dans Facebook, etc. Et pas de soucis.
(ps. je n'ai pas essayé en fait, mais je suppose que ça fonctionne)
[^] # Re: Où est le problème ?
Posté par Juke (site web personnel) . Évalué à 5.
Pourquoi donner son mot de passe google à facebook ?
[^] # Re: Où est le problème ?
Posté par Moogle . Évalué à 2.
Facebook utilise ça pour récupérer la liste de contact et rechercher ses amis. Pas mal d'autres services font de même, même si franchement, ça ne donne pas confiance.
[^] # Re: Où est le problème ?
Posté par ribwund . Évalué à 3.
Ouch, c'est le mot de passe "root" de ton compte google. Le seul cas où c'est utile c'est pour les applis lourdes qui supportent pas oauth2, le rendre public ailleurs est une très très mauvaise idée (c'est comme si tu partageais ton mdp principal).
[^] # Re: Où est le problème ?
Posté par Marotte ⛧ . Évalué à 1.
Je ne sais pas pour viadeo et linkedin mais Facebook ne te demandera jamais ton mot de passe (à part pour te logger).
[^] # Re: Où est le problème ?
Posté par GG (site web personnel) . Évalué à 4.
Tous les fournisseurs de services de réseaux sociaux te demandent à un moment ou un autre de leur donner les login/pass de tes comptes mails, histoire d'enrichir la base des contacts… (et spammer tes contacts aussi).
Heureusement, tu n'es pas obligé de le faire, mais vu comment c'est présenté, ça semble être obligatoire.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Où est le problème ?
Posté par Marotte ⛧ . Évalué à -8. Dernière modification le 26 novembre 2012 à 22:19.
Non mais t'as fumé quoi ? Tu te fournis chez le même dealer que Samwang ?
Jamais un service sérieux (oui Facebook c'est un site sérieux, à plusieurs dizaine de milliard d'euro de valeur boursière c'est sérieux…) te demandera ton identifiant/mot de passe. Ni Google, ni Yahoo, ni aucun autre site de ce genre. Pour le site du club de foot local de Pataouchnok je dis pas (m'enfin ça n'existe plus trop, maintenant ça passe par Facebook). Si on t'a demandé tes identifiants c'était clairement une tentative de phishing.
Si tu parles des sites qui te demandent de d'identifier avec ton compte Facebook ils ne te demandent pas tes identifiants, ils utilisent l'API fournie par Facebook, ton mot de passe tu l'envoies seulement chez Facebook (qui ne stock qu'une somme de contrôle (un hash) de ce mot de passe), pas directement au site concerné.
[^] # Re: Où est le problème ?
Posté par netsurfeur . Évalué à 4.
Pour Facebook, je ne sais pas, je n'utilise pas.
Par contre, Google me propose de collecter les emails de mes autres comptes, il suffit que je fournisse l'identifiant et le mot de passe pour qu'il les relève en POP. De même, je peux lui fournir les identifiants et mot de passe de comptes Yahoo, Hotmail,… pour qu'il récupère mon carnet d'adresses. Pourtant Google est "à plusieurs dizaine de milliard d'euro de valeur boursière".
LinkedIn me propose aussi d'importer mon carnet d'adresses Google, Yahoo,… en fournissant mon identifiant et mon mot de passe. LinkedIn est valorisé à plus de 10 milliards de dollars.
D'après toi, dois-je conclure que Google et LinkedIn font du phishing ?
[^] # Re: Où est le problème ?
Posté par Marotte ⛧ . Évalué à 1.
OK je vois.
Probablement pas. Mais ce genre de truc est à éviter c'est clair, autant conserver une certaine segmentation.
[^] # Re: Où est le problème ?
Posté par Cyrille Pontvieux (site web personnel, Mastodon) . Évalué à 5. Dernière modification le 27 novembre 2012 à 00:22.
En vérité t'en sais rien. Et presque personne ne sait. Mais comme tu disais un peu plus haut, c'est un problème de confiance. As-tu confiance en ces entreprises ? En général ? Sur ce sujet précis ?
La réaction de la plupart des gens c'est « Bah c'est un truc connu, ils doivent pas faire des trucs illégaux ni douteux ». Mouais, ça reste une supposition. On n'en sait rien, et on suppose que tout va bien tant qu'on n'a pas la preuve du contraire.
Moi je suis ptre un peu parano mais je donne jamais mes identifiants de courriel ou de messagerie instantané à un site, qu'il soit connu ou non. Mais bon, si ça se trouve, c'est une précaution inutile…ou pas. On sait simplement pas.
[^] # Re: Où est le problème ?
Posté par GG (site web personnel) . Évalué à 8.
Bonsoir Marotte,
il y a deux ou trois semaines, j'ai créé des comptes sur Facebook, Linkedin, Viadeo, et Google.
Tous m'ont demandés à un moment de fournir les identifiants des autres comptes pour y trouver des contacts.
MSN fait pareil.
Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html
[^] # Re: Où est le problème ?
Posté par Zenitram (site web personnel) . Évalué à 3. Dernière modification le 27 novembre 2012 à 09:06.
Euh… Stop. Revient en 2012 s'il te plait.
En 2012, les gens veulent du connecté. Quand tu vas sur Facebook, il te propose de filer ton pass Google mail si par hasard tu t'es inscrit chez eux avec une adresse Google, pour te faciliter la vie, c'est à dire écrire à tes contacts, trouver tes amis, automatiquement. C'est même le but des réseaux sociaux. Bref, les gens sont très contents de ça : ça les fait chier de faire un export de leurs contacts pour ensuite les importer dans Facebook, personne n'a envie de s’embêter (et cherche pas : non, facebook ne permet pas d'importer, à mon avis bien plus parce que pas foule l'utiliserait que par envie de récupérer le mot de passe Google). Pareil pour n'importe quel webmail qui fera la migration tout seul.
Par contre, ça n'a rien d'obligatoire et ce n'est pas affiché comme tel.
PS : ça ne veut pas dire que j'adhère, hein, je ne fait qu'expliquer le comportement des gens. Pour moi, c'est inacceptable qu'un autre connaisse mon pass, Google y répond pas mal avec un pass par "appli". Mais on ne doit pas être très nombreux à avoir ce "blocage"… Suffisamment pour Google, mais pour personne d'autre.
[^] # Re: Où est le problème ?
Posté par Moogle . Évalué à 3. Dernière modification le 27 novembre 2012 à 11:07.
Je crois qu'il y a confusion. Facebook ne demande pas ton mot de passe Facebook sur un formulaire autre que le login, mais il demande tes identifiants mail, Skype, etc… afin de retrouver tes amis dans tes contacts. Il ne les stocke pas, à priori.
http://img526.imageshack.us/img526/1127/facebooksw.png
[^] # Re: Où est le problème ?
Posté par Xaapyks . Évalué à 3.
Tu prends tes désirs pour une réalité Marotte. Malheureusement c'est bien comme ça que ça fonctionne… La démocratisation d'OAuth va petit à petit régler la chose, mais c'est encore très fréquent qu'un service social demande un mot de passe de messagerie gmail/hotmail pour aller y récupérer tes contacts et ajouter tes amis.
C'est facultatif, mais au vu du nombre de mails que je reçois d'amis qui m'incitent à m'inscrire sur un réseau avec un message prédéfini, je sais clairement que ça marche.
[^] # Re: Où est le problème ?
Posté par Marotte ⛧ . Évalué à 2.
Oui tu as raison. C'est que j'utilise peu les réseaux sociaux mais je me souviens qu'effectivement Google m'a proposé de donner mon mot de passe Yahoo! (Ce que je n'ai pas fait)
[^] # Re: Où est le problème ?
Posté par Maclag . Évalué à 9.
Mme Michu, c'est du ressors de quel admin?
Plus sérieusement, tu parles de tes utilisateurs. Tu te rends compte du nombre d'utilisateurs qui ne sont les utilisateurs de personne en particulier?
Conclusion:
Je vais créer une app pour ça, il faudra rentrer son mot de passe sur mon site qui vous dira si le site suspect est vraiment malveillant.
----------->[ ]
[^] # Re: Où est le problème ?
Posté par Patrick Lamaizière (site web personnel) . Évalué à 3.
Ahahah, trops gros ça prendra pas…
Tiens au taf, on vient de se prendre une campagne de phishing et je suis sûr qu'on va encore avoir des gens qui sont tombés dedans.
(et on ne demande jamais les mots de passes)
Tant que je suis là, est-ce qu'il y a des gens qui ont développé des scripts pour supprimer (plutôt mettre dans un dossier quarantaine) les mails de phishing après coup ? Le problème c'est que même si on met des filtres en place assez vite, on a toujours un bon milier de personnes qui ont déjà eu le mail. L'idée serait de partir des logs postfix, parce que c'est difficile de grepper un spool de 2 To.
les pixels au peuple !
[^] # Re: Où est le problème ?
Posté par Jean Canazzi . Évalué à 4.
Le problème, c'est que ça fait des années qu'on explique aux Mmes Michus que pour se prévenir du hameçonnage, il faut, avant de rentrer un mot de passe :
_ vérifier que l'URL est bien celle du site,
_ vérifier que le navigateur affiche bien le petit cadenas (ou autre) et pas de warnings
_ vérifier qu'il y a marqué "https" devant
Et maintenant, il va falloir leur expliquer que doc.google.com n'est pas www.google.com, et que dans ce cas là le petit cadenas n'est pas une garantie suffisante. Ça va être coton.
[^] # Re: Où est le problème ?
Posté par Kytrix . Évalué à 0.
dans le même genre: utiliser un petit cadenas comme favicon :/
+ début du nom de domaine avec le nom du site
genre paypal.secure.pl
le meilleur conseil c'est d'aller sur le site depuis le navigateur, ne pas cliquer sur un lien dans un mail.
Idem, je me moquais des gens qui tapaient "LCL" ou "caisse epargne" dans google, or c'est peut etre plus sécurisé que de taper par erreur le mauvais non et risquer de tomber sur un site de fishing (plus difficile sur un .fr probablement) alors que la recherche google vas orienté vers le bon site
# Mon popa c'est fait avoir !
Posté par moavoa . Évalué à 5.
Depuis il est coincer au Ghana et il me demande tout le temps de l'argent :/
Plus sérieusement, je lui disait souvent de vérifier de bien être en https sur le bon site avant de se connecter. Ce qui évidemment ne marche pas dans ce cas la.
[^] # Re: Mon popa c'est fait avoir !
Posté par Xaapyks . Évalué à 7.
C'est compliqué ça, moi aussi j'essaye d'éduquer mes parents : le phishing, les chaînes…
Sauf que les règles "cadenas + nom de domaine correct" ont parfois des exceptions, la preuve.
Internet ou le web devient de plus en plus hostile pour la masse. Les règles basiques de sécurité ne s'appliquent pas toujours, ont des exceptions, ou ne sont juste pas respectées. Tout les non avertis finiront par se faire avoir un jour à ce train là…
Et à moins de donner des cours sur les DNS, sur internet, les MITM, HTTP, etc… quelqu'un qui ne comprend pas de bout en bout comment ça marche est exposé à ces arnaques…
# Les fautes ne vont pas limiter tant que ça la diffusion du phishing
Posté par Xaapyks . Évalué à 10.
Koi qelle faute tu parle? Ia pa de faute ici ca doi etre un messaje oficiel de google je vé renplir le fomurlaire
PS sa se sauré si y avé dé faute jaurait vu toutsuitte chui pas kon lol
[^] # Re: Les fautes ne vont pas limiter tant que ça la diffusion du phishing
Posté par Marotte ⛧ . Évalué à 3.
J'allais faire la même réflexion, quand on voit le niveau de certains.
Faut avouer qu'il n'y a pas tant de fautes que ça par rapport aux tentatives de phishing habituelles :)
Et sinon je confirme, l'utilisation de Google Docs pour le phishing ça fait longtemps que ça existe.
[^] # Re: Les fautes ne vont pas limiter tant que ça la diffusion du phishing
Posté par Strash . Évalué à 1.
Je pense que les fautes ne sont pas le problème pour la simple raison que personne ne lis ce genre de texte…
[^] # Re: Les fautes ne vont pas limiter tant que ça la diffusion du phishing
Posté par Thierry Thomas (site web personnel, Mastodon) . Évalué à 2.
Faut avouer qu'il n'y a pas tant de fautes que ça par rapport aux messages habituels de Free :)
Pour les tentatives d'hameçonnage de Proxad, les fautes sont au contraire une marque de fabrique, et c'est leur absence qui serait suspecte !
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.