Une tentative de phising, probablement… [RESOLU]

[Fernand]

Bonjour à tous.

Juste pour info, j'ai reçu ce mail ce matin. Je n'ai bien entendu pas cliqué sur le lien, ni répondu !

Il se fait que j'attends effectivement un colis (un DVD), et qu'il est justement en retard (j'imagine qu'il a été retardé suite aux conditions climatiques de la semaine dernière), et de plus, ce fournisseur envoie ses DVD en "colis ordinaire", donc sans suivi). Mais... ! Comme celui-ci vient de France pour la Belgique, je serais vraiment très étonné qu'il soit en dédouanement ! Bien sûr, une erreur de distribution (mauvais adresse, et le gars aurait gardé le colis pour lui) voire tout simplement un vol de la part d'un membre du personnel postal (si, si, ça arrive, même si les contrôles sont plus efficaces qu'auparavant) est toujours possible.

On peut remarquer plusieurs choses :

1. Pas d'adresse mail "exotique" : websecurity@skynet.be;
2. Pas de fautes d'orthographe dans le corps du message.

Tout ça a bien changé... Donc PRUDENCE !

Lorsque vous postez une demande d'aide sur le forum, il est INDISPENSABLE de nous fournir le rapport GFXplorer et le modèle EXACT de votre ordinateur (étiquette au dos du portable ou sous la batterie dans le compartiment batterie généralement), merci.

Sujet

[Privet | Ici commence l’Auvergne, ici finit la France !]

Malheureusement rien de neuf, d'autant que le from peut être spoofé sans soucis...

ICI de l'autre coté de la Meuse on a un classique phishing genre avec un email qui contient https://www.cybermalveillance-gouv.fr au lieu de https://www.cybermalveillance.gouv.fr qui est le site officiel...

En fait la seule manière est d'afficher l'intégralité des headers du message pour identifier son origine et surtout regarder avec une GRANDE attention le lien qui est affiché sur SERVICE...

Comme toujours il faudrait informer, former, éduquer les gens sinon on va tous dans le mur

 

[Fernand]

Salut Privet

Tout d'abord, que signifie "spoofer" ? Je ne connaissais pas le terme, donc j'ai fait une petite recherche, si quelqu'un est intéressé :

"Spoofing : définition
Temps de lecture : 3 mn

L’usurpation d’identité électronique, ou spoofing, se distingue en 3 catégories :

L’e-mail spoofing : des mails contenant un virus informatique sont envoyés depuis des adresses e-mail existantes, afin de mieux induire en erreur le destinataire. Ce dernier va ainsi propager involontairement le virus à l’ouverture du mail. Le hacker peut alors extraire des données personnelles ou même maîtriser à distance l’ordinateur.
L’usurpation d’adresse IP, ou IP spoofing, consiste à envoyer des paquets IP depuis une adresse IP source qui n’a pas été attribuée à l’ordinateur qui les émet.
Le smart-spoofing : il permet d’utiliser une application cliente quelconque grâce à l’usurpation d’une adresse IP. Ainsi, les règles de sécurité réseau sont contournées. Cette technique, si elle est associée à la translation d’adresse, peut même neutraliser les pare-feux.
L’objectif du spoofing peut être double :

Le hacker masque son identité lors d’attaques. Dans le cas attaques DDos ou attaque par rebond, cette technique est pratique pour brouiller la source de l’attaque. Chaque paquet de l’attaque peut avoir une adresse IP différente, rendant inefficace toute tentative de filtrage.
Le cybercriminel se sert de l’identité d’un équipement du réseau de manière à accéder à des services spécifiques sur le réseau.
Comment contrer le spoofing ?

Pour contrer l’usurpation d’identité électronique, la recommandation majeure actuelle est de protéger l’adresse IP des clients afin qu’ils ne soient pas identifiables par celle-ci, mais de les authentifier grâce à des algorithmes cryptographiques. Il existe différentes méthodes d’authentification, tels que IPsec, SSL, SSO, SSH…

Il existe différents systèmes de gestion de données (SGBD) qui fournissent des solutions différentes pour protéger des données (méthode d’authentification, chiffrement, droits d’accès…). Il est donc important de comparer les différents SGBD et de prendre le temps avant d’en choisir un.

CASB est un logiciel qui garantit la sécurité de l’ensemble des applications Cloud (Cloud Public, Cloud privé, Cloud Hybride). Cet outil peut, entres autres, détecter des comportements anormaux grâce à l’analyse des comportements utilisateurs (UEBA) et d’identifier des changements inattendus dans les configurations réseau et pare-feu.

Avec CASB, il est ainsi possible de réduire les risques de cyberattaquesen évitant toute usurpation d’identité et piratage de comptes, fréquents dans les attaque DDoS ou de phishing car les pirates souhaitent masquer leur identité, mais aussi lors de shadow IT.

Avec une solution de sécurité automatisée telle que le Cloud Access Security Broker, l'ensemble des applications cloud peut être surveillé en temps réel. Ses fonctionnalités exploitent des algorithmes de Machine Learning de manière à ce que l’outil s’améliore en continue.

CASB offre divers services pour gérer les identités, les identifiants et les accès, tels que :

Visibilité sur l’activité de toutes vos applications et de votre infrastructure cloud, concernant les interactions utilisateurs, des appareils, etc.
Surveillance en temps réel de l'ensemble des activités, configurations et transactions afin d’identifier les anomalies et les modèles de fraude, ou encore des failles sur vos applications cloud.
Analyse du comportement utilisateur (UEBA) : CASB détermine des baselines historiques et uniques pour chaque utilisateur et service cloud de manière à identifier un comportement anormal et donc à risque. Si une anomalie est détectée, le CASB propose automatiquement un moyen d’y remédier grâce à l’exploitation d’algorithmes de Machine Learning.
Protection contre les menaces : détectez, anticipez et visualisez les menaces grâce aux algorithmes de Machine Learning et des analyses comportementales avancées (UEBA).
Alerte sur les menaces de sécurité : identifiez et prévenez les actions indésirables sur vos contenus et sur les données sensibles dans le Cloud."

Site d'origine : https://www.oracle.com/fr/security/spoofing-usurpation-identite-ip/

J'ai créé ce post pour attirer l'attention des membres sur la facilité qu'on peut avoir de se faire piéger. Comme toujours, on réfléchit AVANT et on clique (éventuellement !) APRES.

Une autre petite chose que j'ai remarquée : le message a été envoyé à 1h00 du matin ! Ca m'étonnerait quand-même qu'un employé de chez Proximus (skynet) travaille à cette heure là, surtout pour ce genre de communication. Encore que, tout est possible...

J'ai suivi le tuto de Christophe pour trouver l'expéditeur au moyen des adresses IP qu'il y a dans le message, les deux proviennent de Belgique, l'une de Vilvorde, l'autre d'Alost.

https://sospc.name/localiser-expediteur-mail/

Lorsque vous postez une demande d'aide sur le forum, il est INDISPENSABLE de nous fournir le rapport GFXplorer et le modèle EXACT de votre ordinateur (étiquette au dos du portable ou sous la batterie dans le compartiment batterie généralement), merci.

[D i d i e r]

Jette un œil sur ce site        https://www.signal-arnaques.com/?q=dédouannement+colis+skynet#search-container

[Fernand]

Merci Didier, je me suis inscrit à la newsletter et j'ai signalé l'arnaque sur ce site.

A noter que j'ai reçu le colis ce matin, par courrier ordinaire comme prévu, sans devoir payer aucun frais. C'était donc bien une tentative d'arnaque !

Pour la petite histoire, j'ai reçu... un autre DVD que celui que j'avais commandé   Ca n'a évidemment rien à voir avec notre histoire. J'ai laissé un mail sur Amazon à destination du vendeur... On verra bien, j'espère que je pourrai l'échanger.

Lorsque vous postez une demande d'aide sur le forum, il est INDISPENSABLE de nous fournir le rapport GFXplorer et le modèle EXACT de votre ordinateur (étiquette au dos du portable ou sous la batterie dans le compartiment batterie généralement), merci.

[Auteur]

Réponses