"Votre Carte Bancaire est suspendue"

Petit manuel de prudence à l’usage des candides de l’Internet.

Ce midi, en regardant mes mails à la machine à café (ok, il était 13:50), je tombe sur un mail m’indiquant que ma carte bleue a été volée, frauduleusement utilisée et bloquée par ma banque.
Vu de mon iPhone™, ce mail avait l’air plutôt probable… Je me dis “tiens, mon dernier achat Internet aurait-il été de trop?”… Je regarde rapidement la tête du mail… un logo Visa, du texte bien agencé, un expéditeur probable et le fameux lien “cliquez ici pour résoudre le problème” Et d’un coup, mon cerveau lumière s’allume ; plutôt bien foutu ce con !

Ce mail fait parti de la catégorie des saletés que l’on nomme “phishing” (en anglais) ou “hameçonnage” (en québécois). Apparemment, on parle aussi de “filoutage”. Moi j’appelle ça une tentative de te la mettre bien profond en récupérant tes identifiants CB au passage.

Comme je suis informaticien depuis que mon père est rentré à la maison avec un MO5, j’ai une tendance naturelle à me méfier des choses qui arrivent à point nommé sans que l’on n’ai rien fait pour. Spécialement si ça arrive sur un équipement électronique. Et comme je connais essentiellement des gens qui ne le sont pas, voici quelques astuces faciles qui permettent de se rendre compte de la supercherie avant qu’il ne soit trop tard. Au passage, un des mes précédents responsables s’est fait avoir par un mail de ce type et s’est fait “volé” son compte PayPal… en même temps, il venait de chez Microsoft… bref, tout ça pour dire que ça arrive, même aux meilleurs d’entre nous initiés.

“Vous avez un message.”©

Voici donc le mail tel qu’il se présente dans mon client de messagerie :

Sachant que notre cerveau est d’ores et déjà préparé à la supercherie, essayez de trouver deux ou trois points suspicieux qui auraient pu vous empêcher de cliquer en catastrophe sur le lien présenté… Alors… ?

“Il y a quelque chose de pourri dans le royaume du Danemark.”©

Voici maintenant illustrées les anomalies qui font de tout mail de ce genre des faux (assez) facilement identifiables :

“Mail considère ce mail comme indésirable”. “Mail”, c’est le nom de mon client de messagerie. Mais il est probable que Thunderbird, Outlook, … auraient émis la même alerte. Ils peuvent se tromper quelque fois ; on parle alors de faux-positif ; mais c’est déjà un bon point de départ pour la réflexion.

Etude de l’expéditeur : Verified@visacard.fr <service@account>. Là, on voit plein de choses bizarres. Premièrement, le nom complet (Verified@visacard.fr) n’est pas cohérent avec l’adresse mail (service@account). Alors bien sûr, on mets ce qu’on veut dans le nom complet ; mais une société aura plutôt tendance à mettre un nom compréhensible, genre “Service des fraudes”. Ensuite, et c’est le plus aberrant, l’adresse e-mail n’est pas complète ! Le domaine est account ; pas de .fr, pas de .com, … En l’état actuel, si vous faites un “Répondre”, le mail ne pourra pas être acheminé. (Pour les techies, je passe sur le Reply-To, c’est un article “pour les Nuls”).

Les fautes d’orthographe : “a” au lieu de “à”, “er” à la place de “é” et vis-versa, des “é” manquants, … C’est un bon indicateur de la qualité du rédacteur. Alors bien sûr, on a vu souvent rejaillir de feu de l’ancien volcan des publicités avec des fautes. Mais une, pas cinq ou six.

Cohérence des informations. Ce qui ne m’a pas fait tiqué immédiatement, c’est la présence des logos “Visa” et “MasterCard”. Y’a pas, ce sont les bons (Verified by VISA ici et MasterCard SecureCode là). Oui mais… Ce sont deux sociétés indépendantes… Pourquoi recevoir un mail estampillé des deux logos… Surtout que le mail est signé “Verified by Visa” en pied de page.

“Ah mais oui, j’ai bien vu un Grosminet”©

Enfin, le test ultime. En fait, c’est même le second test que je fais presque machinalement après l’étude de l’expéditeur.

Passez votre souris au dessus du lien. J’ai bien dis passez et pas cliquez !

Tout client de messagerie normalement constitué programmé vous fera apparaître le détail du lien d’une façon ou d’une autre. Soit en pop-up, soit dans la barre d’état. S’il ne le fait pas, il est temps de le jeter et d’utiliser un vrai client Mail.
Bref, que voit-on donc ? Un nom de domaine (www.remshost.com) qui n’a rien à voir avec Visa, MasterCard ou ma banque. On voit ensuite une URL bien compliquée avec du lard et du cochon (ebay, update, visa_au_quotidien, …).

Pour les plus motivés, on peut chercher des informations sur le domaine. La base Whois nous indique que ce domaine est enregistré auprès de “TRUNKOZ TECHNOLOGIES PVT LTD.”, bon… mais surtout qu’il a été crée le 15-jun-2010 !
Si on va chercher plus d’information auprès de OwnRegistrar, on apprendra que le domaine est administré (Administrative Contact Details) par la société “Rem Domains” domiciliée à Tamil Nadu, en Inde.
Inutile d’appeler le contact pour se plaindre ; mais on est maintenant sûr et certain que ce mail n’est pas légitime.

Le mot de la fin

En espérant que ce petit tour d’horizon vous aura été utile.

Et n’oubliez jamais : tournez 7 fois votre souris sur votre bureau avant de cliquer !

1 Comment

  • “Prélèvement rejeté le : 30/01/2012″ – TuM'Fatig Wed, 01 Feb 2012 12:45:29 +0000 Reply

    […] avions déjà vous l’autre fois comment éviter de se faire voler ses identifiants bancaire. Aujourd’hui, voici une autre version du vol d’identifiant, plutôt réussit, et basée […]

Leave a Reply

Your email address will not be published. Required fields are marked *

*

%d bloggers like this: