Publié le 13-02-2009 à 07:38:08 dans le thème Phishing - Hoax

Pays : France - Auteur : Damien Bancal

Pub : Tous les antivirus gratuits pour protéger et nettoyer votre ordinateur

Nous allons vous faire entrer dans la peau d´un pirate amateur de phishing et d´une victime d'un hameçonnage. Toutes les informations de cet article sont vraies. Rien n'a été modifié. La victime nous a donné l'autorisation de citer son prénom. Nous avons juste inventer un pseudo pour l'escroc. Enquête exclusive !

Notre enquête va débuter après avoir été averti par un lecteur, Virgule, d'un phishing à l'encontre des clients de l'opérateur Orange. L'attaque, classique, débute par un courriel. Une missive précisant un problème dans les informations des clients de la filiale de France Télécom. L'interlocuteur, ainsi averti, a pour mission de s'empresser de valider ses données privées et sensibles afin de ne pas perdre sa connexion. C'est du moins ce que tente de faire croire le pirate.

Dans la peau de l'escroc
BoB a la vingtaine bien tassée. Il rame pour trouver du boulot et il s'est rendu compte qu'Internet lui ouvrait des possibilités inavouées [lire l'interview d'un phisher: il hack pour vivre].

Mission du jour pour BoB, trouver le réceptacle qui hebergera son escroquerie. Un serveur, un site Internet qui cachera sa fausse page Orange. Pour cela, il doit faire appel à des "collègues" ou à des outils qui lui dénicheront des sites ouverts aux 4 vents.

Un accès dans un serveur lui suffit. Juste de quoi placer sa fausse page usurpant les couleurs du Fournisseur d'Accès à Internet. Il n'est pas à son coup d'essai. Il a d'ailleurs déjà pu tester la chose en tentant de piéger des clients de chez Pixmania ou encore de la Abbey Bank. Bref, BoB est un touche à tout.

Une fois le serveur pénétré, la page pirate installée, BoB n'a plus qu'une seule chose à faire. Contacter un maximum de personnes par courrier électronique.

Ici aussi, l'escroc n'a pas loin à chercher. Louer une base de données, en trouver une sur la toile, il n'a que l'embarra du choix [1] [2] [3].

Les mels sont envoyés via plusieurs bots installées de part le monde. BoB n'a plus qu'à attendre le piégé. Il recevra les informations rentrées par les internautes via plusieurs adresses électroniques qu'il a créé sur Gmail, Yahoo, ... ([email protected] ou encore [email protected] ou encore [email protected]).

Et c'est avec impatience que BoB attend dans sa boite électronique les premières missives à l'objet révélateur "Orange ReZulT".

Dans la peau du piégé
Andrim a 38 ans, elle vit à Istres, dans les Bouches-du-Rhône. Internet, elle n'y connait pas grand chose. Ça l'amuse, un peu. C'est surtout monsieur qui surf.

Janvier dernier, Adrim découvre que sa carte VISA a été utilisée par une personne. Ce n'est pas son mari, encore moins ses enfants. Impossible de se rappeler quand, ou, comment, les 16 chiffres de la VISA familiale, ainsi que le CVV et la date de validité, ont été employés, sauvegardés, diffusés.

"Nous avons contacté notre banque la Société Générale, soupire Adrim, L'attaché commercial va vite comprendre le problème. Nous venions de nous faire pirater notre numéro de carte bancaire."

Une fuite rapide, simple, efficace qui va permettre à BoB de piller le compte bancaire de personnes qui vivent déjà chichement. "Je ne travaille pas, indique Adrim, Mon mari travail beaucoup et c'est dur de joindre les deux bouts. Alors se faire voler, ça n'arrange pas les choses".

Heureusement, dans ce type de cas, les banques françaises remboursent, vite et bien.

De son côté, BoB va recevoir les informations d'Andrim. Durant 48 heures, l'escroc, mais aussi les complices  de ce voleur, vont ponctionner plus de 2,500 euros sur les comptes de l'Istroise. Des achats sur le site Wistee.fr (location de serveur pour de futurs phishing); Skype (Des achats de minutes d'appel téléphonique); SNCF Internet; IDTGV; Atlas Blue (Une compagnie aérienne low cost, filiale de Royal Air Maroc basée à Marrakech); Jet4fou (billets d'avions pour le Maroc); ...

Pour palier ce type d'attaque, vérifiez toujours l'installation qui doit recevoir votre carte bancaire (dispositif mouvant installé sur un lecteur de distributeurs de billets). Ne répondez jamais à la moindre sollicitation par courrier électronique vous informant d'un problème sur votre compte bancaire. Consultez directement, par téléphone, votre banque. En cas de fraude, prévenez le plus rapidement possible votre conseiller financier. Déposez plainte et surtout, noter les dernières actions que vous avez pu effectuer (lieux, dates, restaurants, boutiques, Internet, stations service ...) avec votre carte bancaire.

Fraudes bancaires dans l'hexagone
En France, l'Observatoire des cartes bancaires indiquait, en juillet 2008, que 260 millions d'euros avaient été perdus sur l'année 2007, soit 6,3 % des dépenses totales effectuées avec une carte bancaire en France. Six fois moins (6,1) que les chiffres britanniques diffusées à la même date. Le KPMG Forensic Fraud Barometer britannique parlait, pour son cas, et sur les six premiers mois de 2008, d'une perte de 790 millions d'euros volés par des pirates. En 2006, en France, le même rapport de l'Observatoire indiquait 252 millions d'euros volés, détournés, perdus.

Protéger ses données bancaires
Comme nous l'indiquait un ancien phisher dans une interview exclusive donnée à ZATAZ.COM, la fraude en ligne rapporte beaucoup. + 20 % de cyber escroqueries en 2008. En France, nous avons la chance d'avoir des institutions bancaires réactives et une loi qui protège les consommateurs. Sachez qu'en cas de fraude, un dépôt de plainte auprès de la police ou de la gendarmerie est une obligation. Faites opposition en cas de prélèvement. Il est fortement conseillé de doubler cette plainte par un courrier recommandé avec accusé de réception auprès de votre conseiller financier. Dans tous les cas, votre banque, après enquête, remboursera l'argent prélevé illicitement. Vous avez 70 jours pour agir, mais le plus tôt est le mieux [art. L. 132-6 / 132-4 du Code monétaire et financier].

Aujourd'hui, les banques proposent des solutions de carte unique de paiement, comme PayWeb card, par exemple, pour le Crédit Mutuel du Nord. Un moyen de paiement électronique qui vous permet de créer un numéro de carte bancaire avec une autorisation de paiement à usage unique d’un montant que vous avez choisi pour une validité d’un mois. Une carte, un numéro, un montant. Vous souhaitez acheter une paire de baskets, un sac de marque, une montre, un jeu vidéo, un disque ? La banque va vous fournir un numéro à 16 chiffres, un CCV pour un montant que vous allez lui prédéfinir.

Bref, même si un pirate met la main sur ces numéros, ils ne lui serviront à rien. Le commerçant aura été payé et votre compte en banque, et vos vraies données bancaires, protégés.

Tweet

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

EDF : Avis de coupure de courant par email

Depuis quelques jours, un faux courriel aux couleurs d'EDF inquiét les internautes Français.

Les impôts vous doivent des sous

INFO ZATAZ - Un courrier électronique aux couleurs du Ministère du budget, des comptes publics et de la fonction publique vous annonce un remboursement de 178 euros.

Ipad 3 à gagner sur Facebook

Les rumeurs vont bon train sur la date de sortie de la nouvelle génération d'iPad et les spammers se préparent à escroquer les impatients.

Piège à l´encontre des Clients du Crédit Agricole

INFO ZATAZ - Un pirate informatique tente de mettre la main sur les données bancaires des clients du Crédit Agricole.

Phishing Orange

INFO ZATAZ - Tentative de vol de données appartenant aux clients de l’opérateur téléphonique Orange.fr.

Tentative de piratage de données bancaire la Banque Postale

INFO ZATAZ - Nouvelle tentative de piratage des données bancaires des clients de la Banque Postale.

Arnaque aux couleurs d'EDF

INFO ZATAZ - Un courriel vous annonce un avis de coupure de courant par EDF. Attention, cet email est une escroquerie.