HTTPS bien une arnaque?

On nous récemment remonté un exemplaire d'un spam usurpant l'identité de Crédit Mutuel à des fins de phishing.
La campagne de spam prétexte (classiquement) un risque relatif à la sécurité du compte bancaire du destinataire :

Bien sûr, le lien mentionné dans l'image centrale de ce phishing et commençant soi-disant par "https" est bidon. La présence de l'HTTPS est à vérifier sur votre navigateur, pas dans l'email.
Dans ce cas, le lien frauduleux pointait vers un site compromis au Chili (.cl), qui n'a rien à voir avec Crédit Mutuel, avant de rediriger vers un espace gratuit d'hébergement de sites dans le nuage.

De toutes façons, il faut retenir que de telles sollicitations ne vous parviendront JAMAIS par email de la part de banques françaises.
Toute autre vérification ultérieure (syntaxe/orthographe/grammaire, domaine du lien présent dans l'email, etc.) ne doit servir qu'à vous confirmer que le message est une escroquerie par phishing et vous aider à vous entraîner à repérer la prochaine tentative de ces escrocs tenaces...

Pour en savoir, plus :
- lisez les conseils en la matière du portail gouvernemental sur la sécurité informatique, de la plateforme de signalement Pharos ou de Signal-Spam,
- consultez les alertes de sécurité figurant sur les sites officiels des organismes dont l'identité est usurpée (exemple Crédit Mutuel),
- remontez-nous toute adresse de site suspect pour que nous l'analysions.

Convention de partenariat avec Signal-Spam : la lutte s'organise !

Nous sommes ravis de renforcer notre collaboration actuelle avec l'association Signal-Spam, par la signature conjointe d'une convention de partenariat.

Les membres fondateurs de Phishing-Initiative sont parties prenantes de l'association Signal-Spam depuis plusieurs années. L'objectif commun de nos initiatives demeure la protection des internautes français sur Internet, grâce à une coopération efficace entre les pouvoirs publics et le secteur privé.

Le spam est un vecteur privilégié du phishing, et nos associations à but non lucratif vont essayer de mieux lutter ensemble contre ces fléaux. Mais pour ce faire, nous avons besoin de vous :
- nous vous encourageons à nous soumettre tout site suspecté de tentative de phishing, pour que nous puissions le cas échéant le faire bloquer au plus vite;
- il est également important de prévenir les équipes internes de l'organisation dont l'identité est usurpée (banque, FAI, administration, etc.), pour quelles puissent prendre les mesures qui s'imposent pour endiguer ces infractions. Ces organisations mettent en effet souvent à disposition des moyens simples (par exemple une adresse email de type: "abuse@nomdedomaine") pour leur faire parvenir ces cas.
- nous vous recommandons par ailleurs de signaler l'ensemble de vos spams grâce aux outils mis à disposition par Signal-Spam.

L'association Phishing-Initiative est fière de vous présenter les résultats de son action en 2012.

Vous trouverez notre rapport d'activité en suivant ce lien.

Grâce à vous, plus de 25 000 adresses de sites frauduleux ont pu être identifiées et bloquées, soit près de 70 par jour.

Et 2 fois plus que l'an dernier (2011) !

Le Cert-Lexsi a également identifié et remonté à Phishing-Initiative plus de 5 000 URLs de phishing supplémentaires visant le public francophone.

Au total, plus de 30 000 sites frauduleux distincts ont été A MINIMA créées l’an dernier à des fins de vols de données personnelles ou bancaires des particuliers et organisations nationales.

Il y a donc bel et bien une poursuite du phénomène d'augmentation du phishing en France.

Heureusement, la sensibilisation du public sur ce risque (et l'opportunité d'agir pour tout un chacun via notre initiative) croit également, comme le montre l'augmentation du nombre de personnes différentes nous ayant signalé un cas.

Faites connaitre ce moyen autour de vous, pour que le plus grand nombre soit protégé !

CONTRIBUEZ A LA LUTTE CONTRE LE PHISHING SUR :

http://phishing-initiative.com

De nombreux développements sont dans les cartons, notamment pour :

- couvrir une plus large typologie de cas de phishing,

- vous apporter une information plus complète sur notre action et la menace du phishing,

- apporter de nouvelles fonctionnalités pour les personnes qui nous soumettent régulièrement des cas,

- voire pour étendre notre action aux autres pays européens.

Un grand merci à nos partenaires dévoués dans la lutte contre cette forme de cybercriminalité,

Microsoft France, PayPal et LEXSI.

A cliquer avec modération

Les pirates utilisent régulièrement dans leurs accroches un élément lié à l'actualité de l'organisation dont l'identité est usurpée pour crédibiliser un phishing (nouvelle offre ou fonctionnalité, incident de sécurité ou de lié au paiement d'un service, etc.).

Mais il savent aussi suivre l'actualité juridique et règlementaire, et par exemple la mise en application d'une loi telle que l'obligation de posséder un éthylotest dans les véhicules. Ainsi, une vague de cas de phishing coïncidait avec l'imminence de la date d'entrée en vigueur de la loi (du 1er juillet 2012) obligeant les conducteurs à disposer d'un éthylotest dans leurs voitures.

Ce type de tentatives usurpant l'identité de l'Administration (dans l'email) et du site polémique "Ethylotest Gratuit" (dans la pièce jointe) se sont poursuivies au deuxième semestre 2012 et jusqu'il y a quelques jours encore.

Mais déjà en novembre, la verbalisation des individus en infraction avait été repoussée, le ministre de l'intérieur ayant repoussé la date butoir à mars 2013. Aujourd'hui, la mesure a même été repoussée "sine die" par Manuel Valls.

Une proposition de ce type doit donc immédiatement vous alerter sur son caractère frauduleux. En cas de doute, n'hésitez pas à soumettre un spam présumé à www.signal-spam.fr et l'adresse d'un site suspect sur notre formulaire.

Merci pour votre contribution à la lutte contre le phishing.

Et bonne année 2013 !
l'équipe de Phishing-Initiative

Huissier bien une arnaque !

Laurent nous a alerté (Merci !) de l'existence d'une campagne de spams qui cherchent depuis quelques jours à infecter les machines d'internautes français.

L'accroche ne repose pour une fois pas sur une facture consécutive à une commande de matériel électronique (laptop, tablette, etc.) auprès de RueDuCommerce, Fnac, Apple, etc.
Un soi-disant message de la part d'un huissier nantais relatif à une affaire d'impôts à régler représente le piège :

Le lien frauduleux était sur le compte FTP d'un espace d'hébergement mutualisé fourni par HostPapa.com.

Heureusement, le contenu malveillant a depuis été supprimé. Il s'agissait d'un "dropper" détecté par seulement 3 éditeurs AV sur 42 au moment de la première analyse. Un dropper sert à télécharger afin d'installer une charge malicieuse (probablement un cheval de Troie) sur le poste de la victime.

Le fictif Me Leroux n'en est pas à son coup d'essai. En février et août dernier, c'était au tour d'un soi-disant Jean Bredin, et en 2010 d'un Patrick Ferry.

Soyez prudent face à ces arnaques et ne cliquez sur aucun lien contenu dans un message dont la provenance vous est inconnue.

Paysafecard après MasterCard

Il y a quelques mois, nous présentions des arnaques usurpant l'identité de la Hadopi, et monétisées via la récupération de coupons de rechargement de cartes prépayées MasterCard.

Un cas proche visait récemment un opérateur téléphonique français.  Dans cette campagne de phishing, il ne s'agit pas de faire peur via une amende, un problème de facturation ou une mise à jour de sécurité. Mais de proposer un iPhone en cadeau.

Bien sûr il y a un piège, et la victime est invitée pour finir le processus de récupération du téléphone à apporter la preuve qu'elle est bien localisée géographiquement en France.
Cette preuve se présente sous la forme d'un numéro unique figurant sur un coupon fourni par la société Paysafecard dans un point de vente physique (bureaux de tabac notamment) contre une somme d'argent.
Les 50€ que vous donnez de votre plein gré ce faisant vous seront soi-disant remboursés et envoyés avec l'iPhone...

On ne va pas faire la liste des (nombreux) indices montrant que ce type de proposition est frauduleuse.
Mais le plus simple et sûr, c'est évidemment de ne jamais donner suite à des messages non sollicités qui paraissent trop beaux pour être vrai, car ils le sont généralement...

TO GO or TOGO PHISHING

Phishing-Initiative a reçu la semaine dernière le signalement d'un site frauduleux usurpant l'identité d'une banque togolaise, preuve que le phénomène du phishing continue de se mondialiser.

Ce type de menace était autrefois dirigée quasi exclusivement contre les institutions financières des pays du Nord. Mais les attaques risquent de se multiplier vers toujours plus de cibles localisées dans les pays émergents d'Afrique et d'Asie. (Et notamment en Chine comme le montre le dernier rapport de l'Anti-Phishing Working Group) 

Par ailleurs, on a assisté à un basculement en termes de secteurs visés, car le nombre de sites de phishing visant des organisations non bancaires en France dépasse cette année le nombre de ceux usurpant l'identité d'institutions financières françaises. 

Cependant, le nombre brut de sites frauduleux n'est qu'une indication partielle du risque posé par ce phénomène. Le retour sur investissement des escrocs n'est pas linéaire avec le nombre de sites mis en ligne, et la qualité des attaques demeurent très variable.

Les pirates ne semblent en tout cas pas craindre les autorités, car ils continuent de compromettre en masse et au hasard des sites, en particulier ceux utilisant des CMS publics tels que Joomla.  Et y compris certains opérés par des organisations gouvernementales. En 3 jours, 3 campagnes distinctes ciblant Free ont ainsi été mises en ligne sur un portail piraté du ministère de la santé du Bélize (http://www.health.gov.bz/whr/). Depuis le début d'année, des sites gouvernementaux grec, brésilien, australien ou encore chinois avaient subi un sort identique et ont hébergé des phishings visant les FAIs français.

La réponse à ce phénomène ne peut donc être qu'internationale...