Publié le 13-02-2009 à 07:38:08 dans le thème Phishing - Hoax

Pays : France - Auteur : Damien Bancal

Pub : Tous les logiciels firewall gratuits disponibles sur Internet

Nous allons vous faire entrer dans la peau d´un pirate amateur de phishing et d´une victime d'un hameçonnage. Toutes les informations de cet article sont vraies. Rien n'a été modifié. La victime nous a donné l'autorisation de citer son prénom. Nous avons juste inventer un pseudo pour l'escroc. Enquête exclusive !

Notre enquête va débuter après avoir été averti par un lecteur, Virgule, d'un phishing à l'encontre des clients de l'opérateur Orange. L'attaque, classique, débute par un courriel. Une missive précisant un problème dans les informations des clients de la filiale de France Télécom. L'interlocuteur, ainsi averti, a pour mission de s'empresser de valider ses données privées et sensibles afin de ne pas perdre sa connexion. C'est du moins ce que tente de faire croire le pirate.

Dans la peau de l'escroc
BoB a la vingtaine bien tassée. Il rame pour trouver du boulot et il s'est rendu compte qu'Internet lui ouvrait des possibilités inavouées [lire l'interview d'un phisher: il hack pour vivre].

Mission du jour pour BoB, trouver le réceptacle qui hebergera son escroquerie. Un serveur, un site Internet qui cachera sa fausse page Orange. Pour cela, il doit faire appel à des "collègues" ou à des outils qui lui dénicheront des sites ouverts aux 4 vents.

Un accès dans un serveur lui suffit. Juste de quoi placer sa fausse page usurpant les couleurs du Fournisseur d'Accès à Internet. Il n'est pas à son coup d'essai. Il a d'ailleurs déjà pu tester la chose en tentant de piéger des clients de chez Pixmania ou encore de la Abbey Bank. Bref, BoB est un touche à tout.

Une fois le serveur pénétré, la page pirate installée, BoB n'a plus qu'une seule chose à faire. Contacter un maximum de personnes par courrier électronique.

Ici aussi, l'escroc n'a pas loin à chercher. Louer une base de données, en trouver une sur la toile, il n'a que l'embarra du choix [1] [2] [3].

Les mels sont envoyés via plusieurs bots installées de part le monde. BoB n'a plus qu'à attendre le piégé. Il recevra les informations rentrées par les internautes via plusieurs adresses électroniques qu'il a créé sur Gmail, Yahoo, ... ([email protected] ou encore [email protected] ou encore [email protected]).

Et c'est avec impatience que BoB attend dans sa boite électronique les premières missives à l'objet révélateur "Orange ReZulT".

Dans la peau du piégé
Andrim a 38 ans, elle vit à Istres, dans les Bouches-du-Rhône. Internet, elle n'y connait pas grand chose. Ça l'amuse, un peu. C'est surtout monsieur qui surf.

Janvier dernier, Adrim découvre que sa carte VISA a été utilisée par une personne. Ce n'est pas son mari, encore moins ses enfants. Impossible de se rappeler quand, ou, comment, les 16 chiffres de la VISA familiale, ainsi que le CVV et la date de validité, ont été employés, sauvegardés, diffusés.

"Nous avons contacté notre banque la Société Générale, soupire Adrim, L'attaché commercial va vite comprendre le problème. Nous venions de nous faire pirater notre numéro de carte bancaire."

Une fuite rapide, simple, efficace qui va permettre à BoB de piller le compte bancaire de personnes qui vivent déjà chichement. "Je ne travaille pas, indique Adrim, Mon mari travail beaucoup et c'est dur de joindre les deux bouts. Alors se faire voler, ça n'arrange pas les choses".

Heureusement, dans ce type de cas, les banques françaises remboursent, vite et bien.

De son côté, BoB va recevoir les informations d'Andrim. Durant 48 heures, l'escroc, mais aussi les complices  de ce voleur, vont ponctionner plus de 2,500 euros sur les comptes de l'Istroise. Des achats sur le site Wistee.fr (location de serveur pour de futurs phishing); Skype (Des achats de minutes d'appel téléphonique); SNCF Internet; IDTGV; Atlas Blue (Une compagnie aérienne low cost, filiale de Royal Air Maroc basée à Marrakech); Jet4fou (billets d'avions pour le Maroc); ...

Pour palier ce type d'attaque, vérifiez toujours l'installation qui doit recevoir votre carte bancaire (dispositif mouvant installé sur un lecteur de distributeurs de billets). Ne répondez jamais à la moindre sollicitation par courrier électronique vous informant d'un problème sur votre compte bancaire. Consultez directement, par téléphone, votre banque. En cas de fraude, prévenez le plus rapidement possible votre conseiller financier. Déposez plainte et surtout, noter les dernières actions que vous avez pu effectuer (lieux, dates, restaurants, boutiques, Internet, stations service ...) avec votre carte bancaire.

Fraudes bancaires dans l'hexagone
En France, l'Observatoire des cartes bancaires indiquait, en juillet 2008, que 260 millions d'euros avaient été perdus sur l'année 2007, soit 6,3 % des dépenses totales effectuées avec une carte bancaire en France. Six fois moins (6,1) que les chiffres britanniques diffusées à la même date. Le KPMG Forensic Fraud Barometer britannique parlait, pour son cas, et sur les six premiers mois de 2008, d'une perte de 790 millions d'euros volés par des pirates. En 2006, en France, le même rapport de l'Observatoire indiquait 252 millions d'euros volés, détournés, perdus.

Protéger ses données bancaires
Comme nous l'indiquait un ancien phisher dans une interview exclusive donnée à ZATAZ.COM, la fraude en ligne rapporte beaucoup. + 20 % de cyber escroqueries en 2008. En France, nous avons la chance d'avoir des institutions bancaires réactives et une loi qui protège les consommateurs. Sachez qu'en cas de fraude, un dépôt de plainte auprès de la police ou de la gendarmerie est une obligation. Faites opposition en cas de prélèvement. Il est fortement conseillé de doubler cette plainte par un courrier recommandé avec accusé de réception auprès de votre conseiller financier. Dans tous les cas, votre banque, après enquête, remboursera l'argent prélevé illicitement. Vous avez 70 jours pour agir, mais le plus tôt est le mieux [art. L. 132-6 / 132-4 du Code monétaire et financier].

Aujourd'hui, les banques proposent des solutions de carte unique de paiement, comme PayWeb card, par exemple, pour le Crédit Mutuel du Nord. Un moyen de paiement électronique qui vous permet de créer un numéro de carte bancaire avec une autorisation de paiement à usage unique d’un montant que vous avez choisi pour une validité d’un mois. Une carte, un numéro, un montant. Vous souhaitez acheter une paire de baskets, un sac de marque, une montre, un jeu vidéo, un disque ? La banque va vous fournir un numéro à 16 chiffres, un CCV pour un montant que vous allez lui prédéfinir.

Bref, même si un pirate met la main sur ces numéros, ils ne lui serviront à rien. Le commerçant aura été payé et votre compte en banque, et vos vraies données bancaires, protégés.

Tweet

Hack de badges Mifare Classic avec son smartphone

20-05-2013 à 09:08 - 0 commentaire(s)

Bidouiller des cartes Mifare via le NFC de votre smartphone, possible, avec NFC Mifare Classic Scanner.

L'Agence Bolivarienne d'Activités Spatiales piratée

20-05-2013 à 00:02 - 0 commentaire(s)

L'Agence Bolivarienne d'Activités Spatiales du Venezuela infiltrée par des pirates. La base de données volée.

Fausse pub, fausse mise à jour Flash

19-05-2013 à 23:21 - 0 commentaire(s)

Depuis quelques jours, une fausse mise à jour flash apparait dans de nombreux sites Internet. Explication !

Le XSS Twitter fait encore des dégâts

19-05-2013 à 10:10 - 0 commentaire(s)

Plusieurs comptes Twitter du journal Financial Times piratés par la Syrian Electronic Army.

Big Brothers Awards, le 26 juin 2013

19-05-2013 à 00:56 - 0 commentaire(s)

Privacy France présente la 11ème édition des Big Brothers Awards le 26 juin 2013 à la Parole Errante à à Montreuil.

Cisco corrige une faille... en fait non !

18-05-2013 à 17:59 - 0 commentaire(s)

Un jeune internaute de 14 ans aide Cisco à corriger une faille. Cisco corrige... à moitié !

Opération anti Anonymous en Italie

18-05-2013 à 17:18 - 0 commentaire(s)

La police italienne a lancé l'opération Tango Down à l'encontre d'internautes soupçonnés d'avoir piraté des sites gouvernementaux sous la signature d'Anonymous.

Les Anonymous veulent libérer l'Internet Belge

18-05-2013 à 17:05 - 0 commentaire(s)

Des hacktivistes, sous la bannière Anonymous Belgium, annoncent vouloir libérer le web royal le 15 juin prochain.

Un escroc du web utilise l'image d'un politique Français

Pour tenter de mettre la main sur l'argent d'internautes Français, un escroc utilise l'image d'un important politique Français sur son lit de malade.

Attaque de masse à l'encontre des clients du Crédit Mutuel

Plusieurs dizaines de faux sites Internet aux Couleurs du Crédit Mutuel Nord Europe dans la ligne de mire de pirates.

Attention, détection d'un vrai faux site EDF

Nouvelle attaque à l'encontre d’EDF. Le pirate enregistre un nom de domaine EDF imparable pour les internautes.

Cdiscount vous offre 75€ suite à votre dernier achat !

Les clients de Cdiscount, le site n'1 du e-commerce en France, visé par un filoutage de données bancaires

Le Cloud de Microsoft utilisé pour un phishing Société Générale

Un faux site de la Société Générale exploité à partir du cloud de Microsoft, windowsazure.com.

Arnaque autour d'un service La Poste

Un escroc du web tente de récupérer des informations de remboursement sur des colis envoyés via La Poste.

Filoutage : CAF et EDF dans la ligne de mire d'un pirate

Prudence, un piratage à destination des allocataires de la CAF en cours... via une fausse adresse EDF.

Faux site Chronopost

Prudence, un courriel aux couleurs de La Poste et son service Chronopost livre un colis numérique piégé.