Publié le 13-02-2009 à 07:38:08 dans le thème Phishing - Hoax

Pays : France - Auteur : Damien Bancal

Pub : CD + DVD vierges - TV + Hifi. Cartouches d'encre - Console de jeux

Nous allons vous faire entrer dans la peau d´un pirate amateur de phishing et d´une victime d'un hameçonnage. Toutes les informations de cet article sont vraies. Rien n'a été modifié. La victime nous a donné l'autorisation de citer son prénom. Nous avons juste inventer un pseudo pour l'escroc. Enquête exclusive !

Notre enquête va débuter après avoir été averti par un lecteur, Virgule, d'un phishing à l'encontre des clients de l'opérateur Orange. L'attaque, classique, débute par un courriel. Une missive précisant un problème dans les informations des clients de la filiale de France Télécom. L'interlocuteur, ainsi averti, a pour mission de s'empresser de valider ses données privées et sensibles afin de ne pas perdre sa connexion. C'est du moins ce que tente de faire croire le pirate.

Dans la peau de l'escroc
BoB a la vingtaine bien tassée. Il rame pour trouver du boulot et il s'est rendu compte qu'Internet lui ouvrait des possibilités inavouées [lire l'interview d'un phisher: il hack pour vivre].

Mission du jour pour BoB, trouver le réceptacle qui hebergera son escroquerie. Un serveur, un site Internet qui cachera sa fausse page Orange. Pour cela, il doit faire appel à des "collègues" ou à des outils qui lui dénicheront des sites ouverts aux 4 vents.

Un accès dans un serveur lui suffit. Juste de quoi placer sa fausse page usurpant les couleurs du Fournisseur d'Accès à Internet. Il n'est pas à son coup d'essai. Il a d'ailleurs déjà pu tester la chose en tentant de piéger des clients de chez Pixmania ou encore de la Abbey Bank. Bref, BoB est un touche à tout.

Une fois le serveur pénétré, la page pirate installée, BoB n'a plus qu'une seule chose à faire. Contacter un maximum de personnes par courrier électronique.

Ici aussi, l'escroc n'a pas loin à chercher. Louer une base de données, en trouver une sur la toile, il n'a que l'embarra du choix [1] [2] [3].

Les mels sont envoyés via plusieurs bots installées de part le monde. BoB n'a plus qu'à attendre le piégé. Il recevra les informations rentrées par les internautes via plusieurs adresses électroniques qu'il a créé sur Gmail, Yahoo, ... (w0rldgothic2@gmail.com ou encore alapage066440288@gmail.com ou encore w0rldgothic2@yahoo.fr).

Et c'est avec impatience que BoB attend dans sa boite électronique les premières missives à l'objet révélateur "Orange ReZulT".

Dans la peau du piégé
Andrim a 38 ans, elle vit à Istres, dans les Bouches-du-Rhône. Internet, elle n'y connait pas grand chose. Ça l'amuse, un peu. C'est surtout monsieur qui surf.

Janvier dernier, Adrim découvre que sa carte VISA a été utilisée par une personne. Ce n'est pas son mari, encore moins ses enfants. Impossible de se rappeler quand, ou, comment, les 16 chiffres de la VISA familiale, ainsi que le CVV et la date de validité, ont été employés, sauvegardés, diffusés.

"Nous avons contacté notre banque la Société Générale, soupire Adrim, L'attaché commercial va vite comprendre le problème. Nous venions de nous faire pirater notre numéro de carte bancaire."

Une fuite rapide, simple, efficace qui va permettre à BoB de piller le compte bancaire de personnes qui vivent déjà chichement. "Je ne travaille pas, indique Adrim, Mon mari travail beaucoup et c'est dur de joindre les deux bouts. Alors se faire voler, ça n'arrange pas les choses".

Heureusement, dans ce type de cas, les banques françaises remboursent, vite et bien.

De son côté, BoB va recevoir les informations d'Andrim. Durant 48 heures, l'escroc, mais aussi les complices  de ce voleur, vont ponctionner plus de 2,500 euros sur les comptes de l'Istroise. Des achats sur le site Wistee.fr (location de serveur pour de futurs phishing); Skype (Des achats de minutes d'appel téléphonique); SNCF Internet; IDTGV; Atlas Blue (Une compagnie aérienne low cost, filiale de Royal Air Maroc basée à Marrakech); Jet4fou (billets d'avions pour le Maroc); ...

Pour palier ce type d'attaque, vérifiez toujours l'installation qui doit recevoir votre carte bancaire (dispositif mouvant installé sur un lecteur de distributeurs de billets). Ne répondez jamais à la moindre sollicitation par courrier électronique vous informant d'un problème sur votre compte bancaire. Consultez directement, par téléphone, votre banque. En cas de fraude, prévenez le plus rapidement possible votre conseiller financier. Déposez plainte et surtout, noter les dernières actions que vous avez pu effectuer (lieux, dates, restaurants, boutiques, Internet, stations service ...) avec votre carte bancaire.

Fraudes bancaires dans l'hexagone
En France, l'Observatoire des cartes bancaires indiquait, en juillet 2008, que 260 millions d'euros avaient été perdus sur l'année 2007, soit 6,3 % des dépenses totales effectuées avec une carte bancaire en France. Six fois moins (6,1) que les chiffres britanniques diffusées à la même date. Le KPMG Forensic Fraud Barometer britannique parlait, pour son cas, et sur les six premiers mois de 2008, d'une perte de 790 millions d'euros volés par des pirates. En 2006, en France, le même rapport de l'Observatoire indiquait 252 millions d'euros volés, détournés, perdus.

Protéger ses données bancaires
Comme nous l'indiquait un ancien phisher dans une interview exclusive donnée à ZATAZ.COM, la fraude en ligne rapporte beaucoup. + 20 % de cyber escroqueries en 2008. En France, nous avons la chance d'avoir des institutions bancaires réactives et une loi qui protège les consommateurs. Sachez qu'en cas de fraude, un dépôt de plainte auprès de la police ou de la gendarmerie est une obligation. Faites opposition en cas de prélèvement. Il est fortement conseillé de doubler cette plainte par un courrier recommandé avec accusé de réception auprès de votre conseiller financier. Dans tous les cas, votre banque, après enquête, remboursera l'argent prélevé illicitement. Vous avez 70 jours pour agir, mais le plus tôt est le mieux [art. L. 132-6 / 132-4 du Code monétaire et financier].

Aujourd'hui, les banques proposent des solutions de carte unique de paiement, comme PayWeb card, par exemple, pour le Crédit Mutuel du Nord. Un moyen de paiement électronique qui vous permet de créer un numéro de carte bancaire avec une autorisation de paiement à usage unique d’un montant que vous avez choisi pour une validité d’un mois. Une carte, un numéro, un montant. Vous souhaitez acheter une paire de baskets, un sac de marque, une montre, un jeu vidéo, un disque ? La banque va vous fournir un numéro à 16 chiffres, un CCV pour un montant que vous allez lui prédéfinir.

Bref, même si un pirate met la main sur ces numéros, ils ne lui serviront à rien. Le commerçant aura été payé et votre compte en banque, et vos vraies données bancaires, protégés.

Phishing à l´encontre de la Caisse d´Allocations Familiales

30-01-2010 à 18:08 - 3 commentaire(s)

Exclusif : Prudence, depuis samedi après-midi, un pirate tente de mettre la main sur les identifiants de connexion à la Caisse d´Allocations Familiales.

Cocoonez high–tech

30-01-2010 à 14:30 - 0 commentaire(s)

Oreillerbaladeur et couverture USB pour rester au chaud tout en étant branché ! A découvrir aussi le 1e réseau en 3D dédié à l´art.

Censure du Net: rassurants amendements en commission

28-01-2010 à 11:54 - 0 commentaire(s)

La Quadrature du Net se rassure de l´adoption à l´unanimité en Commission des Lois d´amendements à la loi LOPPSI déposés par le député Tardy.

Les casseroles made in HADOPI

28-01-2010 à 09:02 - 0 commentaire(s)

Chose promise chose due : mobilisation de l'armée numérique pour le lancement de l'opération Casseroles Day (C-DAY).

Nouveau phishing à l´encontre des clients de la Caisse d´Épargne

28-01-2010 à 08:21 - 0 commentaire(s)

Voilà un pirate qui a de la suite dans les idées. Septième attaques à l´encontre des clients de la Caisse d´Épargne.

L´exploit pour hacker la PS3 diffusé sur Internet

27-01-2010 à 15:37 - 0 commentaire(s)

GeoHot, l´auteur du premier véritable crack de la Playstation 3 de Sony diffuse le code qui permet cet exploit technique.

Jouer gratuitement au poker

26-01-2010 à 16:09 - 0 commentaire(s)

Pour rester informé en permanence des dernières offres de poker en ligne, Pokerlistings est le guide le plus actualisé du web.

Do you speak spammeur ?

26-01-2010 à 15:44 - 0 commentaire(s)

Les spammeurs ciblent désormais leurs destinataires en fonction de leur langue et de leur pays d´origine.

Phishing à l´encontre de la Caisse d´Allocations Familiales

Exclusif : Prudence, depuis samedi après-midi, un pirate tente de mettre la main sur les identifiants de connexion à la Caisse d´Allocations Familiales.

Nouveau phishing à l´encontre des clients de la Caisse d´Épargne

Voilà un pirate qui a de la suite dans les idées. Septième attaques à l´encontre des clients de la Caisse d´Épargne.

Haïti: Phishing visant la Croix Rouge Française

Exclusif : Un courrier électronique se fait passer pour un appel aux dons aux profits de la Croix Rouge Française et de Haïti.

Attention aux fausses alertes AMAZON.FR

Prudence, un phishing tente de voler les accès appartenant aux clients de la librairie en ligne Amazon.fr.

Phishing Paypal, prudence à l´url

Nouvelle tentative d´hameçonnage à l´encontre des utilisateurs de Paypal France. Prudence à l´url pirate.

Le pirate de la Caisse d´Épargne refait le coup avec Visa

Exclusif : Après s´être attaqué par deux fois à la Caisse d´épargne, un pirate jete son dévolu sur Visa Master Card.

Tragédie à Haïti, les pirates veillent

Le FBI lance une alerte au sujet de probables arnaques autour de la tragédie Haïtienne.

Un pirate s´attaque aux noisettes de la Caisse d´Epargne

Exclusif hameçonnage : Nouvelle arnaque électronique visant les clients de la Caisse d'Epargne Ile de France.