Autopsie d’un faussaire

C’est bientôt Noël. Les cadeaux, les achats sur les sites Internet, … et des arnaques des apprentis faussaires. C’est simple, nos boîtes de messageries voient débarquer les messages anxiogènes sur la sécurité de nos comptes. “Il faut absolument vous connecter et confirmer vos moyens de paiements. Sinon …vous ne pourrez pas acheter sur Internet. Donc pas de Noël.”. Voila le message que je reçois régulièrement depuis quelques semaines et que vous devez aussi recevoir.

Petit interlude ‘définition’. Un spam, ou pourriel en français, est un courrier non désiré. C’est principalement de la publicité. Dans ce lot de messages non voulus, il y a des scams, ou arnaques. Ces fameux mails anxiogènes destinés à nous faire surréagir et envoyer nos informations personnelles à des escrocs. En principe, nos messageries savent bloquer spams et scams. 

J’ai déjà fait un article sur le phénomène, ‘Petit faussaire deviendra grand’. L’arnaque est toujours la même. Il nous faut agir rapidement ou les conséquences sont néfastes. Le message nous encourage à cliquer sur un lien pour saisir nos informations clients (identifiants et mot de passe). En pratique, ce lien renvoie indirectement vers un site contrefait de notre service. Je reconnais que dans certains cas, le faux site est bien fait. 

Comment font-ils pour contourner les filtres anti-spam ? 

Il me faut étudier de plus près ces messages. La plupart des scams se font passer pour des grands groupes mais utilisent dans leurs liens des noms de domaines inconnus. Ces mails se donnent une apparence honnête :

  • Pas de référence au service à part l’utilisation d’une image issue de celui-ci.
  • Un seul lien de retour sur un site détourné (souvent des blogs WordPress).
  • Pas de fautes d’orthographes (merci les correcteurs orthographiques et grammaticaux).
  • Parfois des liens réels vers le vrai service mais non mis en avant dans le message. 

Mais la caractéristique la plus intéressante est le détournement de services Google. Il m’est difficile d’entrer dans les détails dans un blog généraliste. Dans un cas, le scammeur recueille nos informations personnelles sur un formulaire Google. Dans l’autre cas, les noms de domaines du faux site renvoient vers des services Google et Paypal tout en détournant nos données. Du grand art !!! 

Avec cela, il est impossible pour le robot qui contrôle nos mails de savoir qu’il s’agit d’une arnaque même s’il me faut 2 secondes pour le savoir. 

Comment le détecter ?

La caractéristique du scam est son message anxiogène et sa volonté de nous voir cliquer sur un lien. Cela doit nous alerter. Si Paypal veut nous faire renouveler nos informations, il nous demandera de nous connecter nous même. 

Pour nous assurer du caractère frauduleux du message regardons l’adresse de l’expéditeur. Si, le nom de domaine est différent du nom de service, c’est un scam. Concrètement, ‘paypal.com’ ne nous écrit pas depuis l’adresse ‘contact@mapetitesociete.fr’.

En pratique, les apprentis faussaires utilisent pour leurs adresses des noms de domaines de sociétés réelles. Il est possible d’indiquer n’importe quoi dans le champ adresse de l’expéditeur. En choisissant un nom réel, ils évitent la suspicion du vigile.  

Les escrocs progressent. Ils n’utilisent pas des méthodes très évoluées mais cela est suffisant pour berner des gens. Ils sont loin d’être indétectables et manquent de tact. Mais la progression est là. Contourner les premières barrières de contrôle est un exploit. 

Les filtres anti-spam n’interprètent pas les images. Ils ne savent donc pas que le message se fait passer pour un service bancaire. Je suis inquiet de voir les progrès réalisés. Dans cette guerre, chacun apprend des mouvements de l’autre.

Partager l'article !!

J’ai de la chance !!!