Actualité

 

Fonctionnement d´un phishing

Publié le 13-02-2009 à 07:38:08 dans le thème Phishing - Hoax

Pays : France - Auteur : Damien Bancal


Pub : Tous les logiciels firewall gratuits disponibles sur Internet


Note des lecteurs: 2.4/5

Nous allons vous faire entrer dans la peau d´un pirate amateur de phishing et d´une victime d'un hameçonnage. Toutes les informations de cet article sont vraies. Rien n'a été modifié. La victime nous a donné l'autorisation de citer son prénom. Nous avons juste inventer un pseudo pour l'escroc. Enquête exclusive !

 

Credit Photo : DB / zataz.com (c)

Notre enquête va débuter après avoir été averti par un lecteur, Virgule, d'un phishing à l'encontre des clients de l'opérateur Orange. L'attaque, classique, débute par un courriel. Une missive précisant un problème dans les informations des clients de la filiale de France Télécom. L'interlocuteur, ainsi averti, a pour mission de s'empresser de valider ses données privées et sensibles afin de ne pas perdre sa connexion. C'est du moins ce que tente de faire croire le pirate.

zataz.com (c)Dans la peau de l'escroc
BoB a la vingtaine bien tassée. Il rame pour trouver du boulot et il s'est rendu compte qu'Internet lui ouvrait des possibilités inavouées [lire l'interview d'un phisher: il hack pour vivre].

Mission du jour pour BoB, trouver le réceptacle qui hebergera son escroquerie. Un serveur, un site Internet qui cachera sa fausse page Orange. Pour cela, il doit faire appel à des "collègues" ou à des outils qui lui dénicheront des sites ouverts aux 4 vents.

Un accès dans un serveur lui suffit. Juste de quoi placer sa fausse page usurpant les couleurs du Fournisseur d'Accès à Internet. Il n'est pas à son coup d'essai. Il a d'ailleurs déjà pu tester la chose en tentant de piéger des clients de chez Pixmania ou encore de la Abbey Bank. Bref, BoB est un touche à tout.

Une fois le serveur pénétré, la page pirate installée, BoB n'a plus qu'une seule chose à faire. Contacter un maximum de personnes par courrier électronique.

Ici aussi, l'escroc n'a pas loin à chercher. Louer une base de données, en trouver une sur la toile, il n'a que l'embarra du choix [1] [2] [3].

Les mels sont envoyés via plusieurs bots installées de part le monde. BoB n'a plus qu'à attendre le piégé. Il recevra les informations rentrées par les internautes via plusieurs adresses électroniques qu'il a créé sur Gmail, Yahoo, ... ([email protected] ou encore [email protected] ou encore [email protected]).

Et c'est avec impatience que BoB attend dans sa boite électronique les premières missives à l'objet révélateur "Orange ReZulT".

Dans la peau du piégé
Andrim a 38 ans, elle vit à Istres, dans les Bouches-du-Rhône. Internet, elle n'y connait pas grand chose. Ça l'amuse, un peu. C'est surtout monsieur qui surf.

Janvier dernier, Adrim découvre que sa carte VISA a été utilisée par une personne. Ce n'est pas son mari, encore moins ses enfants. Impossible de se rappeler quand, ou, comment, les 16 chiffres de la VISA familiale, ainsi que le CVV et la date de validité, ont été employés, sauvegardés, diffusés.

 

zataz.com (c)

"Nous avons contacté notre banque la Société Générale, soupire Adrim, L'attaché commercial va vite comprendre le problème. Nous venions de nous faire pirater notre numéro de carte bancaire."

Une fuite rapide, simple, efficace qui va permettre à BoB de piller le compte bancaire de personnes qui vivent déjà chichement. "Je ne travaille pas, indique Adrim, Mon mari travail beaucoup et c'est dur de joindre les deux bouts. Alors se faire voler, ça n'arrange pas les choses".

Heureusement, dans ce type de cas, les banques françaises remboursent, vite et bien.

 

zataz.com

De son côté, BoB va recevoir les informations d'Andrim. Durant 48 heures, l'escroc, mais aussi les complices  de ce voleur, vont ponctionner plus de 2,500 euros sur les comptes de l'Istroise. Des achats sur le site Wistee.fr (location de serveur pour de futurs phishing); Skype (Des achats de minutes d'appel téléphonique); SNCF Internet; IDTGV; Atlas Blue (Une compagnie aérienne low cost, filiale de Royal Air Maroc basée à Marrakech); Jet4fou (billets d'avions pour le Maroc); ...

 

Credit photo : DB / zataz.com (c)

Pour palier ce type d'attaque, vérifiez toujours l'installation qui doit recevoir votre carte bancaire (dispositif mouvant installé sur un lecteur de distributeurs de billets). Ne répondez jamais à la moindre sollicitation par courrier électronique vous informant d'un problème sur votre compte bancaire. Consultez directement, par téléphone, votre banque. En cas de fraude, prévenez le plus rapidement possible votre conseiller financier. Déposez plainte et surtout, noter les dernières actions que vous avez pu effectuer (lieux, dates, restaurants, boutiques, Internet, stations service ...) avec votre carte bancaire.

Fraudes bancaires dans l'hexagone
En France, l'Observatoire des cartes bancaires indiquait, en juillet 2008, que 260 millions d'euros avaient été perdus sur l'année 2007, soit 6,3 % des dépenses totales effectuées avec une carte bancaire en France. Six fois moins (6,1) que les chiffres britanniques diffusées à la même date. Le KPMG Forensic Fraud Barometer britannique parlait, pour son cas, et sur les six premiers mois de 2008, d'une perte de 790 millions d'euros volés par des pirates. En 2006, en France, le même rapport de l'Observatoire indiquait 252 millions d'euros volés, détournés, perdus.

Protéger ses données bancaires
Comme nous l'indiquait un ancien phisher dans une interview exclusive donnée à ZATAZ.COM, la fraude en ligne rapporte beaucoup. + 20 % de cyber escroqueries en 2008. En France, nous avons la chance d'avoir des institutions bancaires réactives et une loi qui protège les consommateurs. Sachez qu'en cas de fraude, un dépôt de plainte auprès de la police ou de la gendarmerie est une obligation. Faites opposition en cas de prélèvement. Il est fortement conseillé de doubler cette plainte par un courrier recommandé avec accusé de réception auprès de votre conseiller financier. Dans tous les cas, votre banque, après enquête, remboursera l'argent prélevé illicitement. Vous avez 70 jours pour agir, mais le plus tôt est le mieux [art. L. 132-6 / 132-4 du Code monétaire et financier].

Aujourd'hui, les banques proposent des solutions de carte unique de paiement, comme PayWeb card, par exemple, pour le Crédit Mutuel du Nord. Un moyen de paiement électronique qui vous permet de créer un numéro de carte bancaire avec une autorisation de paiement à usage unique d’un montant que vous avez choisi pour une validité d’un mois. Une carte, un numéro, un montant. Vous souhaitez acheter une paire de baskets, un sac de marque, une montre, un jeu vidéo, un disque ? La banque va vous fournir un numéro à 16 chiffres, un CCV pour un montant que vous allez lui prédéfinir.

Bref, même si un pirate met la main sur ces numéros, ils ne lui serviront à rien. Le commerçant aura été payé et votre compte en banque, et vos vraies données bancaires, protégés.

 

Conseiller cet article RSS ZATAZ Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur del.icio.us

Derniers contenus

Fuite de données d'auditeurs de France Info

29-04-2014 à 12:55 - 0 commentaire(s)

Ip, mail et système informatique des auditeurs web de France Info accessibles aux pirates.

Problème de sécurité pour M6 Boutique

29-04-2014 à 12:10 - 0 commentaire(s)

Un bug sur le site web de M6 Boutique pourrait permettre de piéger les clients de cet espace de télé achat.

Le contrôleur Européen de la Protection des Données a des fuites

29-04-2014 à 11:50 - 0 commentaire(s)

Le site Internet du Gardien Européen de la protection des données personnelles a des problèmes avec sa propre sécurité informatique.

Watch Dogs : plusieurs failles corrigées pour Chicago

28-04-2014 à 14:19 - 0 commentaire(s)

Plusieurs importants sites de la Ville de Chicago corrigés via le protocole d'alerte de zataz.

66 pays visés par un code malveillant dédié aux SMS

28-04-2014 à 11:51 - 0 commentaire(s)

SMS Android OS FakeInst, un logiciel malveillant qui utilise vos SMS pour détourner de l'argent.

Anonymous lance le projet AirChat

28-04-2014 à 11:40 - 0 commentaire(s)

AirChat, un projet Anonymous qui souhaite permettre la diffusion de données numériques par la bande FM.

Google rembourse des utilisateurs d'Android

28-04-2014 à 11:16 - 0 commentaire(s)

Un virus informatique cachée dans une application Android ? Google s'excuse et rembourse les internautes piégés.

Piratage d'une Université pour fabriquer des bitcoins

28-04-2014 à 11:02 - 0 commentaire(s)

Des pirates informatiques ont compromis cinq serveurs de l'Université de l'Iowa pour installer une fabrique de bitcoins.

Sur le même thème : Phishing - Hoax

Le site Internet du RPIMA piraté

Le site Internet du Régiment de parachutistes d'infanterie de Marine piraté... puis exploité dans un filoutage.

Bonne année, premier phishing !

L'année 2014 commence avec une vague phishing visant les clients du Crédit Agricole, 3 Suisses et Carrefour.

Faux site de la CAF particulièrement efficace

Une nouvelle tentative de filoutage de données d'allocataires de la CAF pourrait faire de très gros dégâts.

Phishing vicieux aux couleurs des impôts

Une tentative de filoutage de données bancaires, aux couleurs de la direction générale des finances, pourrait faire des dégâts.

Vague de phishing aux couleurs des Impôts

Découverte d'une diffusion massive de faux courriels aux couleurs de la Direction générale des Finances Publiques.

Faux espace Interpol sur Facebook

Un faux espace Interpol installé sur Facebook par des escrocs du web.

Fausses boutiques en ligne SFR

Une arnaque en ligne aux couleurs de SFR passe par Facebook et des adresses web crédibles.

Académie de Martinique piratée et exploitée dans un phishing

Le site officiel de l'Inspection d'Académie de Martinique diffuse une fausse page de la banque du Crédit Mutuel.

 


Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA