Journal Cas de phishing ... j'aurais pu me faire avoir

Posté par  .
Étiquettes : aucune
0
28
jan.
2005
J'ai reçu ce matin un mail de (prétendument) Paypal, me disant qu'il y avait un problème sur mon compte et qu'il fallait que je me connecte au site

Je dois dire que c'était assez bien foutu, en plus ils ont récupéré une adresse mail qui diffère très peu de celle de mon compte paypal, et je viens de faire des modifs sur mon compte pour eBay, il y aurait donc pu avoir un souci suite à la manip ... donc avant le café, ben j'avoue que j'aurais presque pu me faire avoir ...

C'est assez fin, seul un lien sur les 2 proposés conduit à un site frauduleux (le premier), même si je l'avoue en faisant bien attention on remarque de nombreux petits détails ... encore une fois je n'étais pas bien réveillé.

Quoiqu'il en soit ça me fait penser que la fonction anti-phishing de thunderbird ne sera pas superflue.

Voici le texte du mail, il faut l'imaginer avec les logos de Paypal qui vont bien (comme dit plus haut, le premier lien est frauduleux, à la place d'un accès https à Paypal il renvoit vers une adresse commençant par http://xxx.xxx.xxx/(...)) :

Dear valued PayPal® member:

PayPal® is committed to maintaining a safe environment for its community of buyers and sellers. To protect the security of your account, PayPal employs some of the most advanced security systems in the world and our anti-fraud teams regularly screen the PayPal system for unusual activity.

Recently, our Account Review Team identified some unusual activity in your account. In accordance with PayPal's User Agreement and to ensure that your account has not been compromised, access to your account was limited. Your account access will remain limited until this issue has been resolved. This is a fraud prevention measure meant to ensure that your account is not compromised.

In order to secure your account and quickly restore full access, we may require some specific information from you for the following reason:

We would like to ensure that your account was not accessed by an
unauthorized third party. Because protecting the security of your account is our primary concern, we have limited access to sensitive PayPal account features. We understand that this may be an inconvenience but please understand that this temporary limitation is for your protection.

Case ID Number: PP-040-187-541

We encourage you to log in and restore full access as soon as possible. Should access to your account remain limited for an extended period of time, it may result in further limitations on the use of your account.

However, failure to restore your records will result in account suspension. Please update your records on or before January 31, 2005. Once you have updated your account records, your PayPal session will not be interrupted and will continue as normal.

To update your Paypal records click on the following link:
https://www.paypal.com/cgi-bin/webscr?cmd=_login-run(...)

Thank you for your prompt attention to this matter. Please understand that this is a security measure meant to help protect you and your account. We apologize for any inconvenience.

Sincerely,
PayPal® Account Review Department

PayPal Email ID PP522

Accounts Management As outlined in our User Agreement, PayPal will periodically send you information about site changes and enhancements.
Visit our Privacy Policy and User Agreement if you have any uestions.
http://www.paypal.com/cgi-bin/webscr?cmd=p/gen/ua/policy_privacy-ou(...)


Je sais, vous allez me dire qu'au final ce mail n'est pas du tout crédible (surtout qu'il y a PayPal Europe maintenant), mais compte tenu du contexte et de mon état "de réveil", ça aurait presque pu passer (je n'ai pas cliqué sur le lien du boulot pour voir à quoi ressemble la page qui me demandera mon login et mon mot de passe, la suite ce soir ...)

  • # ne clique pas

    Posté par  . Évalué à 10.

    Tu peux signaler le phishing ici : (en haut à gauche)
    www.antiphishing.org

    Et surtout alerte Paypal dont la réputation est directement touchée ; ils vont se bouger...

  • # C'est mon dernier mot J-P

    Posté par  . Évalué à 3.

    J'ai voulu aller voir la roadmap pour voir quand sortirait la v1.1avec ces fonctions anti-phishing.
    et sur http://www.mozilla.org/projects/thunderbird/(...) je n'ai trouvé que des pages absolument pas à jour (ex : news en bas annonce la 0.9)

    Alors :
    A. J'ai la berlue
    B. C'est vraiment pas à jour (et ca fait tache)
    C. Ca se trouve ailleurs
    D. Un cache mal configuré sur IPoT arrière

    Jean-Pierre, je n'ai pas la réponse, j'utilise un joker, j'appelle mon journal dlfp...

  • # à rapprocher de ça ?

    Posté par  . Évalué à 4.

    ça a l'air d'être lié à ça, non ?

    http://www.futura-sciences.com/sinformer/n/news5347.php?xml=1(...)

    une faille qui permet de récuperer les mails des abonnés de paypal.

  • # usurpation

    Posté par  . Évalué à 4.

    Paypal envoie toujours ses email à ton nom et prenom, genre
    "BonourTartenpion Rubert,"

    pour signaler le fishing :

    "Si vous pensez avoir reçu un email frauduleux (ou consulté un site falsifié), veuillez transférer ce dernier (ou envoyer l'URL du site) à l'adresse usurpations@paypal.fr, puis le supprimer de votre boîte aux lettres. Ne cliquez jamais sur les liens ou pièces jointes inclus dans un email suspect."

    • [^] # Re: usurpation

      Posté par  . Évalué à 2.

      Oui j'ai vu ça entre temps, c'est déjà fait :-)

  • # Pendant ce temps chez gmail

    Posté par  . Évalué à 7.

    J'ai reçu le même (dans la boite SPAM d'ailleurs) et GMail prévient par un gros rectangle sur fond jaune en haut du message :

    Warning: This message may not be from whom it claims to be. Beware of following any links in it or of providing the sender with any personal information. [Learn more]

    Un point pour eux.

    • [^] # Re: Pendant ce temps chez gmail

      Posté par  . Évalué à -1.

      Je suis chez moi ce midi, et mon antivirus me donne plein de warnings sur "TR/Spy.Paylap.BG" qui se trouve dans ma mailbox, c'est rassurant !

  • # Moi aussi tiens...

    Posté par  (site web personnel) . Évalué à 4.

    C'est bizarre car j'ai reçu un mail ressemblant au tiens (à moins que ce ne soit la même chose, mais je ne peux pas le vérifier là maintenant). J'ai tout de suite laissé tomber car je n'ai jamais eu ne serait-ce que l'ombre d'un compte PayPal.

    Mais c'est vrai que, lorsque je l'ai reçu, je me suis dis : "Punaise mais que faire car, c'est sûr, il va y'avoir des gens assez crét^W naïfs pour se faire avoir."

    Je garde l'URL "Anti-Phishing" dans mes bookmarks, ça me servira (malheureusement) à l'avenir.

  • # Et vu de l'aiutre coté

    Posté par  . Évalué à 10.

    Hier, un gentil ninternaute m'envoie ce mail car il se trouve que les pages hebergees pour le phishing sont sur un serveur que je gere. (Les gars sont passés par une appli PHP ecrite avec les pieds pour deposer les fichiers)

    Je corrige la faille, renomme le repertoire en question et comence a fouiller un peu plus.

    Je trouve l'adresse email ou ils envoient les resultats, previent google (compte gmail) et paypal. [1]

    Enfin petit tour dans les logs: en 2 heures 21 personnes se sont faites piegees (clicker sur le lien, entrer ses coordonnees, valider) et depuis hier soir (14 heures de logs) 801 personnes (ip differentes) ont cliqué sur le lien.

    Tout ca pour dire que franchement, c'est tout con de pieger madame Michu qui fait ses courses avec son mulot.

    [1] seul Google m'a repondu, ils ont fermé le compte en moins de 30 minutes

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.