Desjardins et l’hameçonnage (2)
L’automne dernier j’écrivais sur une vague de courriels frauduleux ayant pour but de s’emparer des codes d’accès des clients du mouvement Desjardins qui utilisent le système de gestion de leurs comptes dans Internet AccèsD. C’est la technique bien connue dite de l’hameçonnage.
Après une certaine accalmie de la réception de ces courriels, les hameçonneurs ont repris du service depuis un certain temps. Pourquoi? C’est comme le pourriel : ça fonctionne. Il y aura toujours des personnes insouciantes pour livrer leur données personnelles sur demande. À leur décharge, on doit dire que ces courriels présentent toutes les caractéristiques d’un message légitime.
D’abord, l’adresse de retour «visible» affiche le nom de domaine desjardins.com. L’URL sur lequel on vous demande de cliquer est affiché comme celui du service AccèsD. On a même inséré dans le corps du message le logo officiel de Desjardins.
Sauf que si on lit bien toutes les en-têtes du message, on constate que le courriel n’a pas été expédié depuis les systèmes de Desjardins. Puis, si on place le curseur sur l’URL indiqué, on voit qu’il ne pointe pas vraiment vers le site AccèsD, mais sur un autre site. Il s’agit là de techniques de camouflage très élémentaires, très «low-tech».
Mais allons voir un peu plus loin.
L’envoi d’un premier message a été effectué depuis le nom de domaine tonglong.net enregistré au nom de Benny Wu de la ville de Shenzhen, province de Guangdong, Chine. L’URL pointe vers le nom de domaine anakan.net (qui ce matin de répondait plus), enregistré par un citoyen français.
Un deuxième message a lui aussi été expédié depuis tonglong.net, mais cette fois l’URL pointe vers une page du nom de domaine furatena.org, enregistré au nom de Fernando Rueda de Blanquefort (France). Furatena semble être une OSBL ayant pour intérêt l’Amérique latine.
Troisième courriel qui lui provient du nom de domaine 128secure.com, une entreprise de Rigby (Indiana), et l’URL suggéré est une page du domaine ath.cx (Îles Christmas, au centre de l'océan Pacifique, à quelque 2 500 km au sud d'Hawaï) mais enregistrée au nom de la société Dynamic Network Services de Manchester (New Hampshire).
Desjardins incite ses clients à la prudence , on le comprend. Mais on comprendra aussi que l’étalement dans Internet des responsables de cette tentative de fraude compliquera grandement l’enquête, et surtout les contre-mesures à prendre, en raison de la nature transfrontalière du réseau.
Après une certaine accalmie de la réception de ces courriels, les hameçonneurs ont repris du service depuis un certain temps. Pourquoi? C’est comme le pourriel : ça fonctionne. Il y aura toujours des personnes insouciantes pour livrer leur données personnelles sur demande. À leur décharge, on doit dire que ces courriels présentent toutes les caractéristiques d’un message légitime.
D’abord, l’adresse de retour «visible» affiche le nom de domaine desjardins.com. L’URL sur lequel on vous demande de cliquer est affiché comme celui du service AccèsD. On a même inséré dans le corps du message le logo officiel de Desjardins.
Sauf que si on lit bien toutes les en-têtes du message, on constate que le courriel n’a pas été expédié depuis les systèmes de Desjardins. Puis, si on place le curseur sur l’URL indiqué, on voit qu’il ne pointe pas vraiment vers le site AccèsD, mais sur un autre site. Il s’agit là de techniques de camouflage très élémentaires, très «low-tech».
Mais allons voir un peu plus loin.
L’envoi d’un premier message a été effectué depuis le nom de domaine tonglong.net enregistré au nom de Benny Wu de la ville de Shenzhen, province de Guangdong, Chine. L’URL pointe vers le nom de domaine anakan.net (qui ce matin de répondait plus), enregistré par un citoyen français.
Un deuxième message a lui aussi été expédié depuis tonglong.net, mais cette fois l’URL pointe vers une page du nom de domaine furatena.org, enregistré au nom de Fernando Rueda de Blanquefort (France). Furatena semble être une OSBL ayant pour intérêt l’Amérique latine.
Troisième courriel qui lui provient du nom de domaine 128secure.com, une entreprise de Rigby (Indiana), et l’URL suggéré est une page du domaine ath.cx (Îles Christmas, au centre de l'océan Pacifique, à quelque 2 500 km au sud d'Hawaï) mais enregistrée au nom de la société Dynamic Network Services de Manchester (New Hampshire).
Desjardins incite ses clients à la prudence , on le comprend. Mais on comprendra aussi que l’étalement dans Internet des responsables de cette tentative de fraude compliquera grandement l’enquête, et surtout les contre-mesures à prendre, en raison de la nature transfrontalière du réseau.
Publié par Jean-Pierre à 10:49 AM
<< Accueil