Et celle-ci est plus subtile que les précédentes, son auteur ayant eu la malice de forger un champ From particulèrement adapté pour passer sans soucis le filtrage des serveurs SMTP ; voici l’en-tête du message, mon email étant remplacée par [snip]@[snap] :
Return-Path: <Freebox@free.fr>
Delivered-To: free.fr-[snip]@[snap]
Received: (qmail 14355 invoked from network); 18 Apr 2012 17:35:02 -0000
Received: from mx20-g26.free.fr (HELO PORTABLE) (212.27.42.59)
by mrelay9-g25.free.fr with SMTP; 18 Apr 2012 17:35:02 -0000
Received: from PORTABLE ([209.61.136.162])
by mx1-g20.free.fr (MXproxy) for [snip]@[snap];
Wed, 18 Apr 2012 19:35:02 +0200 (CEST)
X-ProXaD-SC: state=HAM score=0
From: "Freebox@free.fr" <Freebox@free.fr>
Subject: Code : IN1798234
To: [snip]@[snap]
Content-Type: multipart/mixed; charset="utf-8"; boundary="9V2r2NdFA41pwmVy=_WnXYmLeA7Zdw4FWK"
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Date: Wed, 18 Apr 2012 17:35:09 +0000
Le sujet du message est donc de la forme Code : IN1798234 et l’introduction invite l’utilisateur à remplir un formulaire :
Cher client ! Votre Identifiant Client : IN1798234
une nouvelle Protection pour votre dossier.
(1) Telechargez la piece jointe fournie par notre equipe de securite.
(2) Ouvrez le fichier joint (dans votre navigateur Web) et de remplir le besoin domaines.
Cette intervention vous sera facturee.
Cordialement
l'equipe free.
On notera l’abscence d’accents et la surprenante fin de phrase du (2) ^^
Le contenu est aussi pensé pour ne pas « trop » choquer un client peu habitué ou particulièrement naïf, s’il en existe encore… le message inclut donc un formulaire, encodé en base64 pour ne pas être facilement lisible, permettant de piéger la victime.
Une fois décodé, on voit facilement l’arnaque 😉 :
[...]
<form method="post" action="http://www.mediainvent.rs/wp-content/themes/twentyten/zob.php" name="formulaire" onsubmit="return validation();">
[...]
Continue Reading >>
