Je me suis fait hameçonner, mais c'est pour la science!

Je me suis fait hameçonner, mais c'est pour la science!

On entend souvent parler de scam, de phising, ou leurs équivalents en français, l'hameçonnage et l'arnaque sur internet.

Aujourd'hui, je vous propose un petit billet spécial : je me suis fait volontairement hameçonner pour vous montrer l'envers du décor de ce monde!

Point TRES important!

Les manipulations que vous allez voir ci dessous (et notamment le fait d'aller volontairement sur un site de phising) peuvent être dangereuses pour votre système et/ou vos données personnelles. Elles ont été réalisées dans un environnement "bac à sable" (sandbox) et ne doivent pas être reproduites sans protection préalable.

Tout commence avec un mail...

Comme la grande majorité des arnaques sur internet, tout commence avec un simple mail. Formidable, j'ai gagné un super téléphone mobile!

Les images sont bloquées sur le mail car Thunderbird détecte le message comme frauduleux

Bon déjà, on sent l'arnaque arriver à cause de plusieurs choses:

  • Déjà, je ne suis pas abonné à Free, donc je ne vois pas pourquoi Free m'offrirait un mobile
  • Free ne fait pas de cadeaux (comme beaucoup d'entreprises)
  • Vous noterez les fautes d'orthographe et de grammaire, cela vient des "traductions Google" utilisées

Le mail de phising que j'ai pris là est grossier, néanmoins il ne faut pas forcément se fier à la forme, mais aussi au contenu, et aux liens qu'ils contiennent.

Dans mon cas, l'ensemble des liens présents sur ce mail pointent vers la même URL :

http://***********.com/?Z289MSZzMT03NjQ1MzAmczI9NjM4MDc5NzUmczM9RlI=

J'ai volontairement masqué le nom de domaine, car je ne veux pas leur offrir du référencement gratuit.

Premiers réflexes, un petit nslookup, qui va nous donner l'IP qui se cache derrière, et un Whois sur cette IP.

Bon, le doute s'amplifie, pourquoi Free irait utiliser une infrastructure basée en Allemagne alors qu'ils ont leur propre hébergement Online.net?

Néanmoins, à ce stade, rien qui soit vraiment très suspect. J'aurais vu une adresse en Russie, en Inde ou en Chine, j'aurais été bien plus méfiant.

Eviter le blocage du navigateur

Comme vous le savez, les navigateurs modernes bloquent les sites considérés comme dangereux. Néanmoins, de plus en plus de scammers cherchent des parades pour apparaître comme légitimes.

Dans le cas de mon mail, lorsqu'on accède sans le payload (toute la chaine derrière le "?" dans l'URL), on arrive sur un site qui paraît anodin.

Mais encore une fois, vous remarquerez au moins deux informations que j'ai encadré en rouge :

  • Le titre de la page n'a pas été modifié depuis le template utilisé
  • Une jolie faute d'orthographe dans ... le nom de l'entreprise!

Passons au payload

Comme je vous l'avais dit, j'avais retiré de la barre d'adresse le payload associé. Sans ce dernier, le site paraît anodin. Le format du payload parlera sûrement à beaucoup, il s'agit d'une chaîne de caractères encodée en base64. Hop, un petit decode, et on obtient quelque chose de bien plus compréhensible pour un être de chair et de sang.

En fait, c'est ce payload qui va déterminer sur quel site vous allez et qui vous êtes! L'un des identifiants correspond à votre id dans la base du scammer le second, le scam associé, et il y en a des tonnes de différents!

Point a retenir : Ne cliquez jamais sur un lien de phishing, même "juste pour voir", en effet, cela permet au scammer de valider que l'adresse mail est fonctionnelle et lue. De même, les sites sur lesquels vous allez atterrir peuvent être dangereux pour votre ordinateur.

Comme vous pouvez le voir, on a des sites bien distincts derrière, même si certains utilisent les même kits, de manière grossière.

On retrouve un fois de plus:

  • Des fautes d'orthographe/grammaire : "des millions de euros" (en haut à gauche)
  • Le caractère urgent : il faut aller vite, et ne pas réfléchir, sinon un autre aura le cadeau à votre place!
  • Le côté GRATUIT : mis énormément (trop) en avant
  • Le téléchargement nécessaire d'un programme

Pour la blague, les sites d'enquêtes Lidl et Free partagent les mêmes commentaires, des mêmes utilisateurs (avec toujours des traductions exotiques), postés à la même heure, il y a quand même des gens qui ont de la chance de gagner deux téléphones mobiles!

Bon, j'avais tout de même vachement envie d'avoir un Samsung Galaxy S20 gratuit! J'ai donc cliqué sur le sondage, un sondage pour gagner un téléphone dernier cri gratuit, c'est rentable, non?

Dès la première question, je suis resté... dubitatif, j'ai longuement hésité car c'était très compliqué!

Bon, les suivantes ayant le même niveau :

  • Est-ce que je suis content de Free (qui, je le rappelle n'est pas mon opérateur)
  • Est-ce que je suis content du service client
  • etc...

Une fois le questionnaire rempli, j'en arrive enfin à la page qui va regarder si un téléphone est disponible. Après une petite barre de chargement en javascript (qui n'appelle aucune ressource pour voir si un téléphone est vraiment disponible), victoire, j'ai mon téléphone.

Il ne me reste qu'un petit formulaire à remplir, et 2€ à payer, sans doute pour les frais de port! Chouette, j'ai un Galaxy S20 pour 2€, ça va faire des jaloux!

Les plus observateurs auront remarqué une petite clause tout en haut de la page (en gris clair sur blanc...).

Voici cette même clause, zoomée :

En fait, je n'ai pas gagné de téléphone, je participe à un concours pour en gagner un (et je pense que vous connaissez déjà le résultat du concours), les 2€ qu'on me demande ne sont qu'une période d'essai, et 48 heures plus tard, je serais prélevé de 67€ par mois!

En conclusion

Revenons un peu à la réalité maintenant.

Comme vous avez pu le voir, ce phishing était grossier, et pour ma part, je n'aurais jamais foncé dedans. Néanmoins il faut garder en tête que de nombreuses personnes se font chaque jour arnaquer par ce genre de pratique! Il suffit d'un peu d'inattention, d'un peu de méconnaissance d'internet, ou même de ne pas voir les multiples fautes pour tomber dans le panneau. C'est pourquoi il est important de toujours rester attentif sur internet.

En cas de doute, n'hésitez pas à :

  • Rechercher l'offre sur votre moteur de recherche préféré
  • Vérifier la réputation sur des moteurs dédiés, comme par exemple : https://global.sitesafety.trendmicro.com/
  • Etre méfiant des offres "trop belles pour être vraies"

De plus, comme je l'avais dit dans un de mes anciens articles, ne vous fiez pas au fait que les sites soient fournis en https. Dans mon cas, l'ensemble des sites était caché via Cloudflare, et ils avaient tous un certificat valide!