Une arnaque du web qui vise les utilisateurs d'OVH pour dérober leur carte bancaire

 

Un email de phishing, la première pierre de toutes les malversations

C'est un incontournable et la première pierre de presque toutes les malversations.
Tout commence par un email avec un contenu toujours très convaincant.
Tous ceux qui pensent qu'ils ne se feraient pas hammeconner par ce type d'emails sont des cibles potentielles des mails de phishing.
La carétéristique première de ces emails est qu'ils s'appuient toujours sur une première information, souvent publique qu'ils vont exploiter.
La deuxième caractérisstique consitera à "singer" une procédure, un design.. pour définitivement tromper leur cible.

 

L'email de Phising des utilisateurs d'OVH

L'exemple ci-dessous qui vise les utilisateurs d'OVH est particulièrement dangereux, bien ficelé et un véritable cas d'école de phishing qui a dû provoquer et provequera encore des vols de carts bancaires.

L'information publique qui a été utilisée pour le mail de phshing d'OVH

Pour tout utilisateur qui possède des noms de domain, chaque année, à la date anniversaire,il faut renouveler l'abonnement.
Associé à tout nom de domain, il y a le registrar qui s'occupe du nom de domain, par exemple OVH. Cette information est publique, on sait quel registrar s'occupe de quel domain, et aussi on sait parfois qui possède le nom de domain.

Par exemple, mr Dupont possèdera le nom de domain toto.com qui est géré chez OVH

Autre information, il suffit de faire partie des milliers de clients d'OVH pour, pour oavoir reçu des emaisl automatisés, respectaqnt des templates.

De même, des emails avec des liens de paiement ou tout paiement de service atterrisant sur l'inrteface de paiement d'OVH.


Le processus complet de phishing va donc "simplement" consister à envoyer un email imitant les emails d'OVH avec un lien renvoyant cvers une fassse page de paieemet imitant l'aspect de celle d'OVH.

Surtout, pour être convaincant, il faudra choisir le bon moment, par exemple lla date anniversaire de l'échéance d'un service vendu par OVH.

 

 

Ne jamais cliquer dans les liens ni ouvrir des pièces jointes

 

Les personnes malveillantes ont utilisé les informations publique (ci dessus) et ont ajouté un lien dont, et qui dit lien dans un email sit : attention méfiance !!!
Cette règle de base de méfiance sur les liens dans les emails et encore plus les pièces jointes est expliquée à longueur de journée aux utilisateurs, sans jamais être respectée. Les emaails de phising sont toujours suffisament convaincants pour obtenir que les utilisateurs ouvrent les pièces jointes et cliquent dans les liens.

 

entete emailphishing ovh

 

email phishing OVH

 

 

Le contenu de l'email de phishing est très convincant, contextuel et donc percutant.

Néanmoins, un premier détail interpelle, et malheureusement ne sera pas toutjous visible selon les gestionnaires d'emails ( les options séléctionnées..) qui l'afficheront ou ne l'afficheront pas.
L'expéditeur n'est pas OVH, mais : martin.neumaier@pnlinde.de
Malheureusement, certains gestionnaires d'emails afficheront l'alias utilisé dans cet email : OVH
Dans les autres cas, immédiatement, cet expéditeur qui n'est pas un email d'OVH signifie : malversation

Un faux lien ou une fausse pièce jointe accompagent toujurs un email de phishing

 

C'est une constante dans tout email de phishing, l'objectif de l'email est de vous faire ouvrir une pièce jointe ou cliquer sur un lien.
Si on devait classer la dangereusité de ces 2 actions, l'ouverture de la pièce jointe est de loin la plus dangereuse. Mais les liens frauduleux font aussi partie du panal des malversations. Simplement ils vont nécesissiter un niveau d'escalade supplémentaire pour tromper l'utilisateur et s'adressent en général à du vol de données bien précis : majoritairement des numéros de carte bancaire ou des login sur des système.
Dans le cas de l'email de Phishing des clients d'OVH, sans surprise le lien affiché dans l'email n'est pas le lien réel qui redirigie vers une UTL malveillante

 

lien de phishing frauduleux OVH

 

 

En toute connaissance des limites de ce qu'on peut faire ou ne pas faire avec un site web, regardons ou mène ce lien frauduleux.
Après 2 redirections automatiques sur 2 URL d'internet, on atterit sur une première page qui imite leprocessus de génération de paiement d'OVH pour finit avec l'écran suivant :

 

imitation page paiement ovh aranaque

 

 

Le concept est redoutable, parfaitement imité et les personnes malveillantes sont allées dans les moindres détails pour singer le processus d'enregistrement de carte de paiment chez OVH.

Imitations d'intrface, véritable cadenas SSL : tout est fonctionnel et parfaitement imité

 

Non seulement le processus est parfaitement imité, mais la fenêtre finale est totalement fonctionnelle, vérifie la validité des numéros siasis dans le champs des cartes bancaires....
Un détail sur la malversation mise en place est à souligner et démontre les limitations de la sécurisation des sites par des cadenas SSL.
Dans ce cas de phising, les utilisateur ont crée (ou squatté) un premier véritable faux site, pour lequel ils ont obtenu un certificat SSL assurant que les site fonctionne bien en SSL et donc que les informations descartes bancaires passeront dans un contexte sécurisé.
Problème, ici les personnes malvillantes vont recevoir certes par SSL les données des cartes bancaires, mais vont les recevoir.
A nouveau on est en face non pas d'un exploit technique, mais d'un simple détournement d'utilisation standards. A la clef, on a un system, qui ne nécessite aucune compétence pointue et qui pourtant se montre extêmenent redoutable. Sans doute ce qu'on appelle le haching.

Revenons au site de phishing. Pour obtenirr simplement un certificat SSL, un vrai faux site a été mise en place

 

faux site pour avoir certicat ssl

 

Une fois le certicat obtenu, les personens malveillantes on simplemetn posé sur ce site l'URL imitant l'interface d'OVH
Au final, on a une URL qui a bien le cadenas vert et qui finira de duper les utilisteurs malheureux qui vont "mettre à jour" leur information de carte bancaire qui a été refusée.

 

 

cadenas vert ne veut pas dire sans danger

 

 

 

Résumé du Phishnig ciblant les utilisateurs d'OVH

 

L'objectif premier de ce phishing était d'attrapper des numéros de cartes bancaires. Les dégâts ne pourront jamais être évalués parce que les personnes malveillantes ont du capter des informations qu'ils utiliseront peut être, ou peut être revendront . Tout est envisageable.
Aucune compétence technique particulière n'est nécessaire pour mettre en place ce type de phishing qui pourtant est redoubale et son niveau de sohphistication et de détails indique quand même que les personnes malveillantes ont travaillé pour mettre en place une solution très très aboutie et surtout une solution qui nécessite une expérience d'internet. Du coup face à ce type de phishing, un utilisateur usuel d'internet sera démuni.

 

 

Informer OVH qui informe Google

En cas de doute, avant de cliquer, face à un tel email, la première chose à a faire consiste à demander à OVH qu'ils confirment qu'il ont bien envoyé le message.

 

phisihing OVH

 

Une fois déclaré malveillante auprès de google, les browsers tels que firefox bloqueront l'URL

 

 

blocage URL par firefox

 

 


Face aux malverstions, privilégier la formation

OVH, bien que victimes et dans l'impossibilité de traiter ces problèmes qui sont surtout des effets de bord de leur notoriété, apportent une solution de patch, qui ne pourra suffir. La seule solution passe par la formation des utilisateurs deu web et des emails.
Aussi ce type de phishing est bien trop convaincant pour qu'on puisse penser que simplement en formant les personnnes par la phrase : "ils ne doivent pas cliquer dans les leins etdes emaisl ni vourirdes pièces jointes" . La majeure partie des emails sont utilisées à longeurur de journée avec des pièces jointes et des liens dans les emails.

L'unique solution consiste donc à former els personens, à les habituer à reconnaitre un expéditeru, à voir si le lien cliquable est le lien affiché, à repérer ce qu'est uen vrai URl.. à travers le site de veiginfo.fr vous trouverez un service de formation, formation à domicile sur Veigy-Foncenex, Douvaine, le Chablais et Genève

@2018 - veiginfo.fr - dépannage informatique à domicile - Assistance et formation informatique - Veigy-Foncenex et environs
Loading...