Un gentil mail m'informe que je ne peux plus faire d'achats sur internet :-(

mail de phishing


texte du mail :


Cher(e) client(e),
Lors de votre dernier achat, vous avez été averti par un message vous
informant de l'obligation d'adhérer à la nouvelle réglementation concernant la
fiabilité pour les achats par carte bleu// sur internet et de la mise en place d'un
arrêt pour vous futurs achats.

Or, nous n'avons pas, a// ce jour, d'adhésion de votre part et nous sommes au
regret de vous informer que vous ne pouvez plus utiliser votre carte bancaire
sur internet.

N° Dossier : ...

Adhésion : Cliquez ici pour accéder au formulaire

Service fiBanque,
...



le mail vient de : nepasrepondre@yaca.pagesjaunes.fr et apparaît comme provenant de : La Banque postale

Ce mail est constitué d'une image (http://im54.gulfup.com/gwf7Jk.png) et on relèvera comme bien souvent quelques fautes d'orthographe (je vous les laisser trouver ;-).
Cette image est dans un lien, donc si on clique gentiment sur l'image, on est redirigé vers : http://205.174.113.38/CFIDE/images/g.html
qui semble être une ressource piratée sur le site : http://www.spotsylvania.va.us/

Cette page opère une simple redirection vers : http://www.vietnamphonecard.com/wp-content/themes/lookbp

le domaine vietnamphonecard.com héberge un site dont la page d'accueil ressemble à ça !

vietnamphonecard.com


(grâce à : meta http-equiv="Refresh" content="0;url=http://www.vietnamphonecard.com/wp-content/themes/lookbp")

Ici on nous renvoie un code 301 -> moved permanently
qui pointe vers la même page (??) et qui cette fois-ci ajoute un header "location" avec un chaine de 32 caractères qui jointe au chemin dans la page :
http://www.vietnamphonecard.com/wp-content/themes/lookbp/f585c4b31c708d87ac0b8c4bc6c647b2

On charge des scripts, des css, etc.
NB : les scripts servent pour la synthèse vocale et sont piqués directement sur le site de la poste !

La page affichée, comme d'habitude, repose sur une image de fond avec un clavier pour se connecter.

page de login


C'est assez ressemblant avec la page originale de la banque postale.

page de login


Quand on a bien rempli les champs d'authentification, on est redirigé vers une page de validation qui nous invite à fournir tout plein de renseignements persos :
questions secrètes, numero de carte de crédit (avec un validateur javascript!), mots de passe, etc.

confirmation.php


Le tout, avec nos identifiants précédemment fournis, est envoyé à un script serveur et le tour est joué !

On est ensuit redirigé vers le site authentique de la banque postale, ni vu ni connu !

Restez sur vos gardes et vous éviterez les pièges grossiers des pêcheurs :)