Phishing sur Gmail

Le phishing ou hameçonnage est une technique assez connue pour récupérer le compte utilisateur d’un internaute.

Voilà l’exemple d’un phising tenté sur Gmail.

C’est quoi un phishing ?

Le phishing est linguistiquement parlant une variante du mot anglais fishing signifiant pêche.

Le but est de récupérer les informations d’identification d’un internaute lambda en abusant de sa crédulité, comme pour l’affiliation spam.

Ensuite, le pirate aura tout le loisir de se servir du compte volé en usurpant l’identité de l’internaute abusé.

Tous les gros services ont leur lot de phishing, comme les banques, eBay, PayPal ou encore Gmail.

Mode d’emploi d’un bon phishing

Phase #1 : réception d’un mail en provenance d’un service de confiance

Vous allez sur votre boite mail et vous vous rendez compte qu’un service de confiance vous a écrit.

Le terme service de confiance est important, ce n’est pas un poto qui écrit pour vous donner une information, c’est le service de confiance en lequel vous avez toute confiance qui vous prévient d’un danger imminent !

Forme du message

Au minimum, le contenu du mail se donnera une identité : service clientèle, direction des ressources, équipe Gmail…

Au maximum, ce sera un très bon phishing avec la même présentation que le réel service de confiance, les mêmes logos et la même typographie.

Ce dernier cas de phishing est le plus difficile à identifier.

Contenu du message

On trouve de tout, de l’abracadabrant au plus logique :

  • Ledit service a perdu vos identifiants lors de la dernière mise à jour de leur usine en Ouzbékistan ;
  • Une mise à jour est en cours et vous devez envoyer toutes les informations de votre compte par mail ou lettre postale sinon boom ;
  • Vous devez vous réinscrire sur le site et confirmer votre identité bancaire avec votre carte de crédit ;
  • Le service organise un écrémage de ses comptes pour supprimer les comptes inactifs…

Comme pour les HOAX ou canulars, on touche la corde sensible de l’internaute.

Là, c’est la propriété de son compte et sa possible suppression s’il ne fait pas l’action demandée.

Alors, si vous rigolez, c’est que vous êtes déjà sensibilisé à ce genre de choses.

Si vous trouvez que mes exemples sentent trop l’arnaque, détrompez vous, vous verrez dans la suite de ce billet l’exemple dont je m’inspire.

Phase #2 : envoi des informations au pirate

Là, dans un sursaut de bêtise confiance, vous décidez d’envoyer toutes les informations clés de votre compte au service de confiance.

Je crois que ce qui me fait le plus rigoler, c’est quand je vois du phishing où il faut envoyer par courrier postal les informations.

Ben oui, un service de confiance qui officie sur le net, il a besoin de courrier pour bien tout comprendre et intégrer.

De l’information rapide, légère et sans retard, c’est tout bénéfice !

Bref, à ce moment-là, vous avez fait la seule et unique erreur mais c’est la plus grave.

L’autre méthode plus redoutable de phishing est de faire venir un utilisateur sur un site bidon qui se fait passer pour le site web du service de confiance.

Là,vous avez reçu un faux mail et vous allez sur un faux site. On peut tout vous faire faire, de l’identification à la récupération des chiffres de votre carte de crédit…

Vous vous êtes fait usurper vos comptes, le bancaire en bonus.

Petit rappel au cas où : JAMAIS, au GRAND jamais, un service de confiance ne vous demandera de lui fournir votre identifiant avec votre mot de passe.

Ils n’en ont pas besoin, ce sont les boss de votre compte déjà. C’est comme si vous pensiez qu’il fallait donner à la Poste la clé pour votre boite postale.

Figurez-vous qu’ils n’ont pas un double pour votre boite mais un double pour ouvrir toutes les boites en même temps.

Phase #3 : usurpation d’identité

Là, c’est la porte ouverte à toutes les fenêtres. Le pirate a l’accès à toutes vos données.

Dans vos comptes, il peut y avoir des traces de carte bleue, d’autres identifiants et mots de passe sur d’autres services (cas des comptes liés entre eux), des adresses de contacts pour quémander de l’argent, des données professionnelles sensibles…

Si vous avez donné les références de votre carte de crédit, c’est aussi grave.

En gros, vous avez perdu du temps et des informations sensibles précieuses et personnelles.

Le must, c’est que le pirate a récupéré des données intéressantes mais aussi un nouveau compte pour continuer son spam ou son phishing.

Exemple concret d’un phishing

Voilà le dernier phishing classé spam automatiquement que j’ai reçu sur Gmail.

Il est très moche et mal réalisé mais ce sera un bon début pour aujourd’hui.

Chers Abonné(e)s!

Gmail tient a vous informez que des opérations de maintenance Ciblées sur l’ensemble du réseau sont actuellement en cours.

Ces opérations sont dans le but d’identifier chacun de nos utilisateurs en vue de déterminer les comptes actifs et inactifs, ces opérations auront aussi pour but de mettre au point des logiciels contre les spams récurrents au niveau de tous vos comptes.

Renforcer l’ergonomie et la fiabilité au niveau sécuritaire de ce fait nous vous invitons a copier le Formulaire ci-dessous puis le remplir en mentionnant toutes les informations obligatoires (*) et nous le retourner dans un délai de 72H.

Identité Utilisateur :

Nom & Prénom :……………………………………………………….

Date de Naissance :…………………………………………………..

Pays & Ville de Résidence :…………………………………………

Information de Connexion Obligatoire :

Compte Gmail :…………………………………………………………….

Mot de Passe Gmail :…………………………………………………….

Profession :………………………………………………………………….

NB: Tout en nous excusant pour ces désagréments que cette requête pourrait susciter.

Gmail Setup

L’équipe Gmail !

Copyright © 2011 L’équipe Gmail Co. Tous droits réservés.

Qui peut y croire ? Sûrement quelqu’un sinon il ne circulerait plus depuis longtemps…

Que faire pour se prémunir contre le phishing ?

Il n’y a pas 36 solutions, il faut savoir rester lucide et bien ouvrir ses mirettes.

L’expéditeur est bidon

Le soit disant service de confiance écrit en général avec une adresse mail spécifique.

Bien souvent, c’est une adresse qui se veut de confiance mais qui ne l’est pas.

Dans mon exemple sur Gmail, l’expéditeur est mail.service.securite@gmail.com et présenté sous le pseudo de L’équipe_Gmail.

Alors, déjà, un pseudo avec un tiret bas, c’est moyen de la part d’un service de confiance.

Ce qui m’attire ensuite, c’est ce mail, mail.service.securite. Tout le monde peut avoir ce genre de mail, il suffit juste, à la place de donner nom et prénom à l’inscription, de se débrouiller pour avoir un pseudo écrit.

Donc, bilan #1, c’est une adresse mail non officielle appartenant à n’importe qui.

Le message est bidon

Bien souvent, c’est du français très very approximatif version traduction Google.

Conjugaison, grammaire, pluriels, c’est du grand n’importe quoi.

Là, on voit bien que, malgré le fait que Gmail me connaisse, le service ne sait pas de quel sexe je suis… ni même mon nom & prénom.

Alors oui, ce mail est automatique certes mais le publipostage, c’est quand même à la portée du premier Google, non ?

La signature est marrante aussi, Gmail setup. Installation Gmail ? Wtf ?

Bilan #2 : le message est naze et mal traduit, Google Trad a encore du chemin à faire !

Les liens sont bidons

Dans le cas d’un phishing pour vous inciter à vous identifier sur un site bidon, il faudra regarder l’url, c’est-à-dire l’adresse web du site.

Dans la quasi totalité des cas, un service de confiance vous identifie sur son site via un protocole sécurisé, le https.

Le protocole de sécurité HTTPS

Si vous ne voyez pas ce genre de chose dans la barre d’adresse, c’est que vous n’êtes pas sur le bon site !

Mieux. Vous recevez un mail d’eBay.

Allez chercher dans vos favoris l’adresse du site ou sur Google puis rendez-vous sur le site en question afin de confirmer ou d’infirmer le message du mail.

C’est plus facile et moins risqué !

Bilan #3 : les liens vers le fameux site de confiance sont faux.

Un phishing d’amateur mais qui tourne beaucoup

Je viens de regarder mon dossier spam, j’ai deux autres messages avec le même contenu dont l’objet INFORMATION // INFORMATION me laisse sans voix !

Les expéditeurs sont web.service.mail1@gmail.com et web.internet.security@gmail.com mais le pirate créera sans doute d’autres comptes bidons.

  • La mauvaise nouvelle ? Ce phishing tourne et doit usurper pas mal de comptes pour que le pirate en herbe se donne autant de mal.
  • La bonne nouvelle ? Gmail le classe d’office en spam. Si jamais un mail en réelle provenance de Gmail arrive dans le spam directement, les poules auront des dents.

Et si je me fais prendre quand même ?

Alors là, voilà quelques pistes de réponse :

  • Vous ouvrez la fenêtre et vous criez un bon coup ;
  • Vous contactez rapidement le service de confiance pour l’informer de l’usurpation d’identité. En échange de quelques détails croustillants sur votre compte (question secrète, contenu du compte), vous le retrouverez facilement ;
  • Vous informez si possible vos contacts que votre compte a été usurpé. Profitez de Facebook pour le dire à tout le monde et n’hésitez pas à appeler les plus naïfs d’entre eux !
  • Dans le cas d’une carte de crédit, vous faites opposition dans les plus brefs délais, sauf si vous voulez faire croire à votre moitié que vous avez une double vie.

N’oubliez pas que, si votre compte est usurpé, vos contacts vont penser que c’est vous qui leur écrivez.

Le pirate peut leur demander n’importe quoi, de l’argent (vous êtes perdu en Somalie sans un sous et il a besoin de 5000€ sur un compte par virement Western Union) ou d’autres informations sensibles (numéro de téléphone, mail, mots de passe)…

Si vous vous êtes fait avoir, ravalez votre fierté et dites-le rapidement au service de confiance mais aussi et surtout à vos contacts !

Épargnez-leur ce genre de désagrément !

Mon dernier conseil pour faire attention à toutes les arnaques du web ?

Ouvrez en grand vos petits yeux !