C’est devenu le marronnier de la rentrée. Des pirates informatiques profitent du calendrier fiscal des particuliers pour diffuser de fausses pages aux couleurs des impôts Français. ZATAZ a prélevé à la source le vilain !

Le phishing, nous avons beau en parler souvent, très souvent même, cette escroquerie numérique continue de faire de gros dégâts. Le pirate joue du Social Engineering et tente de manipuler l’environnement de sa cible : lui promettre de l’argent, fournir une date butoir… La technique est courue, promettre une somme d’argent, en ce moment 380€.

Derrière un phishing se cache tout un processus malveillant.

Le courriel arrive aux couleurs du site impots.gouv.fr. Il annonce qu’ « après les derniers calculs de vos impôts sur le revenu, nous avons déterminé que vous êtes admissible à recevoir un remboursement de notre part d’un montant de 350,80 Euro ». Bien entendu, pas de remboursement derrière cette belle promesse. Le pirate incite son lectorat à cliquer sur un lien. Celui-ci usurpe l’image de la Direction générale des Finances publiques. L’url devrait vous faire tendre l’oreille. Impots.gouv.fr, l’adresse officielle, se transforme en adresse ésotérique d’un site préalablement piraté pour l’action malveillante de filoutage. Il suffit de lire calmement l’adresse Internet proposée par votre navigateur. Je vous déconseille fortement de cliquer sur le lien pirate. Passez simplement votre souris sur ce dernier pour lire l’adresse exacte, en bas à gauche de votre boite mails/navigateur.

Passez votre souris sur l’url, sans cliquer, pour découvrir la vraie adresse, en bas de votre logiciel.

Une attaque de masse qui va durer tout le mois de septembre : 15 septembre, solde de l’impôt sur le revenu et des prélèvements sociaux et 9ème prélèvement mensuel ; 30 septembre, taxes foncières : date limite d’adhésion au prélèvement à l’échéance.

Qui est le pirate ?

Le pirate veut tout savoir sur ses futures victimes. J’ai découvert, par exemple, qu’il agissait de la sorte depuis 2014, de la région d’Amellagou au Maroc. J’ai pu mettre la main, comme le montre la capture écran, sur un fichier qui référence les adresses IP des visiteurs de ses pages de phishing. Il y en a des centaines. À noter que le premier IP est toujours passionnant. Le pirate, via ses pages d’hameçonnages, intercepte aussi, avec la complicité involontaire des internautes piégés : date de naissance, adresse mail, mot de passe, numéro de téléphone. Pas de données bancaires, son attaque vise des informations personnelles pouvant amener à d’autres escroqueries. Des informations qu’il se fait envoyer à l’adresse [email protected].

Au sujet de l'auteur

Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr