Je dois dire que c'était assez bien foutu, en plus ils ont récupéré une adresse mail qui diffère très peu de celle de mon compte paypal, et je viens de faire des modifs sur mon compte pour eBay, il y aurait donc pu avoir un souci suite à la manip ... donc avant le café, ben j'avoue que j'aurais presque pu me faire avoir ...
C'est assez fin, seul un lien sur les 2 proposés conduit à un site frauduleux (le premier), même si je l'avoue en faisant bien attention on remarque de nombreux petits détails ... encore une fois je n'étais pas bien réveillé.
Quoiqu'il en soit ça me fait penser que la fonction anti-phishing de thunderbird ne sera pas superflue.
Voici le texte du mail, il faut l'imaginer avec les logos de Paypal qui vont bien (comme dit plus haut, le premier lien est frauduleux, à la place d'un accès https à Paypal il renvoit vers une adresse commençant par http://xxx.xxx.xxx/(...)) :
Dear valued PayPal® member:
PayPal® is committed to maintaining a safe environment for its community of buyers and sellers. To protect the security of your account, PayPal employs some of the most advanced security systems in the world and our anti-fraud teams regularly screen the PayPal system for unusual activity.
Recently, our Account Review Team identified some unusual activity in your account. In accordance with PayPal's User Agreement and to ensure that your account has not been compromised, access to your account was limited. Your account access will remain limited until this issue has been resolved. This is a fraud prevention measure meant to ensure that your account is not compromised.
In order to secure your account and quickly restore full access, we may require some specific information from you for the following reason:
We would like to ensure that your account was not accessed by an
unauthorized third party. Because protecting the security of your account is our primary concern, we have limited access to sensitive PayPal account features. We understand that this may be an inconvenience but please understand that this temporary limitation is for your protection.
Case ID Number: PP-040-187-541
We encourage you to log in and restore full access as soon as possible. Should access to your account remain limited for an extended period of time, it may result in further limitations on the use of your account.
However, failure to restore your records will result in account suspension. Please update your records on or before January 31, 2005. Once you have updated your account records, your PayPal session will not be interrupted and will continue as normal.
To update your Paypal records click on the following link:
https://www.paypal.com/cgi-bin/webscr?cmd=_login-run(...)
Thank you for your prompt attention to this matter. Please understand that this is a security measure meant to help protect you and your account. We apologize for any inconvenience.
Sincerely,
PayPal® Account Review Department
PayPal Email ID PP522
Accounts Management As outlined in our User Agreement, PayPal will periodically send you information about site changes and enhancements.
Visit our Privacy Policy and User Agreement if you have any uestions.
http://www.paypal.com/cgi-bin/webscr?cmd=p/gen/ua/policy_privacy-ou(...)
Je sais, vous allez me dire qu'au final ce mail n'est pas du tout crédible (surtout qu'il y a PayPal Europe maintenant), mais compte tenu du contexte et de mon état "de réveil", ça aurait presque pu passer (je n'ai pas cliqué sur le lien du boulot pour voir à quoi ressemble la page qui me demandera mon login et mon mot de passe, la suite ce soir ...)
# ne clique pas
Posté par guix77 . Évalué à 10.
www.antiphishing.org
Et surtout alerte Paypal dont la réputation est directement touchée ; ils vont se bouger...
[^] # Re: ne clique pas
Posté par sherlokk . Évalué à 6.
[^] # Re: ne clique pas
Posté par Alban Crequy (site web personnel) . Évalué à 3.
[^] # Re: ne clique pas
Posté par Colin Leroy (site web personnel) . Évalué à 2.
# C'est mon dernier mot J-P
Posté par Seazor . Évalué à 3.
et sur http://www.mozilla.org/projects/thunderbird/(...) je n'ai trouvé que des pages absolument pas à jour (ex : news en bas annonce la 0.9)
Alors :
A. J'ai la berlue
B. C'est vraiment pas à jour (et ca fait tache)
C. Ca se trouve ailleurs
D. Un cache mal configuré sur IPoT arrière
Jean-Pierre, je n'ai pas la réponse, j'utilise un joker, j'appelle mon journal dlfp...
# à rapprocher de ça ?
Posté par phaphane . Évalué à 4.
http://www.futura-sciences.com/sinformer/n/news5347.php?xml=1(...)
une faille qui permet de récuperer les mails des abonnés de paypal.
# usurpation
Posté par Matthieu BENOIST . Évalué à 4.
"BonourTartenpion Rubert,"
pour signaler le fishing :
"Si vous pensez avoir reçu un email frauduleux (ou consulté un site falsifié), veuillez transférer ce dernier (ou envoyer l'URL du site) à l'adresse usurpations@paypal.fr, puis le supprimer de votre boîte aux lettres. Ne cliquez jamais sur les liens ou pièces jointes inclus dans un email suspect."
[^] # Re: usurpation
Posté par sherlokk . Évalué à 2.
# Pendant ce temps chez gmail
Posté par Sébastien Koechlin . Évalué à 7.
Warning: This message may not be from whom it claims to be. Beware of following any links in it or of providing the sender with any personal information. [Learn more]
Un point pour eux.
[^] # Re: Pendant ce temps chez gmail
Posté par sherlokk . Évalué à -1.
# Moi aussi tiens...
Posté par GCN (site web personnel) . Évalué à 4.
Mais c'est vrai que, lorsque je l'ai reçu, je me suis dis : "Punaise mais que faire car, c'est sûr, il va y'avoir des gens assez crét^W naïfs pour se faire avoir."
Je garde l'URL "Anti-Phishing" dans mes bookmarks, ça me servira (malheureusement) à l'avenir.
[^] # Re: Moi aussi tiens...
Posté par sherlokk . Évalué à 2.
# Et vu de l'aiutre coté
Posté par Thomas Pedoussaut . Évalué à 10.
Je corrige la faille, renomme le repertoire en question et comence a fouiller un peu plus.
Je trouve l'adresse email ou ils envoient les resultats, previent google (compte gmail) et paypal. [1]
Enfin petit tour dans les logs: en 2 heures 21 personnes se sont faites piegees (clicker sur le lien, entrer ses coordonnees, valider) et depuis hier soir (14 heures de logs) 801 personnes (ip differentes) ont cliqué sur le lien.
Tout ca pour dire que franchement, c'est tout con de pieger madame Michu qui fait ses courses avec son mulot.
[1] seul Google m'a repondu, ils ont fermé le compte en moins de 30 minutes
[^] # Re: Et vu de l'autre coté
Posté par Alban Crequy (site web personnel) . Évalué à 4.
Tu es toujours employé chez Google? C'est peut-etre plus rapide lorsque que c'est quelqu'un que l'on connait qui rapporte le problème.
[^] # Re: Et vu de l'autre coté
Posté par inico (site web personnel) . Évalué à 1.
Heuresement que l'email avec comme copie un journaliste sinon ca y serait encore.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.