Il n'a rien d'original, il n'est même pas très malin : c'est le mail de phishing que nous venons de recevoir. Anatomie d'une escroquerie ordinaire. Le phishing est sans conteste l'escroquerie de l'année. Le terme est très à la mode, mais à quoi cela ressemble vraiment, une tentative de phishing ? Regardons celui qui vient de nous arriver.


au sommaire


    Premier contact : un email semblant provenir de la banque américaine Whashington Mutual. Nous ne sommes pas client, mais qu'importe : l'escroc sait parfaitement que sur les milliers de courriers qu'il va envoyer seule une infime minorité tombera chez de vrais clients de la banque. Mais au petit jeu du phishing, les statistiques jouent en sa faveur : une infime minorité d'un très gros volumevolume de courriers, ça fait tout de même quelques pigeons à plumer... et ça ne coûte pas cher.

    Le courrier nous indique que la banque procède à des opérations de maintenance informatique et nous invite à nous rendre sur un site sécurisé pour y "confirmer" nos informations personnelles. Petite touche personnelle : la mention que cet email a été envoyé à tous les clients et qu'il est obligatoire de se plier au contrôle.
    Au premier regard, le lien communiqué dans le courrier semble effectivement pointer vers la banque Washington Mutual.

    Image du site Futura Sciences

    La banque Washington Mutual nous prendrait-elle pour un client ?

    Mais les apparences sont trompeuses : derrière le logo de la banque, le code source du message (accessible grâce à une fonction offerte par tous les outils email) raconte une toute autre histoire. Dès les premières lignes l'escroquerie se précise :

     

    From [email protected] Thu Dec 16 13:36:09 2004
    Return-Path: [email protected]
    Received: from ca-tours-8-##.w80-8.abo.wanadoo.fr (ca-tours-8-##.w80-8.abo.wanadoo.fr 80.8.13.##)

    Bien que le courrier affirme venir d'une banque américaine (wamu.com), il a été expédié depuis l'ordinateur d'un abonné à Wanadoo situé près de Tours, en France (le numéro a été partiellement masqué). À moins que Washington Mutual ait ouvert une filiale hexagonale bien mal équipée, il s'agit plutôt de l'ordinateur d'un internaute un peu naïf. Il aura été détourné à son insu par le pirate lui-même ou après une infection quelconque. Voilà d'ailleurs pourquoi tous les derniers virus intègrent des outils de prise à distance.
    La suite de l'observation du code source du message révèle que la totalité du courrier n'est en fait qu'une grosse image. Celle-ci sert de lien vers un tout autre site que celui affiché dans le message : l'escroquerie est donc avérée. Le texte contient aussi quelques phrases aléatoires, dissimulée à l'internaute, dans l'espoir de tromper les filtres antispam.

    L'adresse 64.231.8.## utilisée dans le code source appartient à Bell Nexxia, filiale de l'opérateur Bell au Canada. Son activité est essentiellement... la fourniture de connexions ADSLADSL au grand public ! Il s'agit probablement là aussi d'un PCPC familial détourné...

    Mais soyons fous. En cliquant volontairement sur le lien, la page qui s'affiche fait froid dans le dosdos : elle reprend le logo et les couleurscouleurs de la banque, mais se montre largement plus indiscrète que ne le serait le plus curieux des banquiers. Tout y passe, depuis le numéro de la carte bancaire et son code PIN jusqu'au numéro de sécurité sociale.

    Image du site Futura Sciences

     

    Le pirate se montre particulièrement indiscret. Comble de l'ironie, notez le petit cadenas rassurant et la mention "secure".

    Le piège ne sera cependant pas resté ouvert très longtemps : quelques heures à peine après avoir reçu le courrier, le site n'était plus accessible. Fin du voyage pour un phishing très ordinaire. Pour la banque Washington Mutual, rien n'a changé. Sur son site, seule une page d'alerte tente de sensibiliser les clients aux risques du phishing. En attendant les prochains...