Titre: Comment reconnaître un Scam? Essayons avec free.fr! (09/08/2012 Par zion)
Ces dernières semaines, on reçoit des dizaines d'emails en provenance apparente de chez Free.fr ou Orange, tous aussi frauduleux les uns que les autres, leur seul but étant de vous soutirez des informations confidentielles pour une utilisation malveillante de vos données.

Mais avec tout ce flux d'emails, comment reconnaître en quelques étapes plus ou moins simples si l'email est véridique ou si il s'agit bel et bien d'une arnaque?

Voici l'email sur lequel nous allons baser notre analyse:


Cher Client (e).

Nous vous prions de bien vouloir vous connecter a votre compte ,Et Reactivez vos informations confidentielles !!

Dans ce but, nous vous remercions de nous adresser vos informations.
Vous avez un délai de 24h pour rétabli l'accès a votre compte dans le cas contraire , Ce dernier sera définitivement annulée.

1- Cliquez sur le lien ci-dessous.
2- Remplir tous les champs, et enregistrez votre profil.

Accéder à votre Compte

Nous vous remercions de votre compréhension,
Copyright © 2012 . Tous droits réservés.


Ce message a été envoyé automatiquement. Merci de ne pas répondre.


1. Aucune société ne vous demande jamais vos informations par email

Premier point qui doit vous faire réagir, on vous demande "nous vous remercions de nous adresser vos informations.". Aucune banque, aucune institution publique ni aucune société sérieuse ne vous demandera de vous donner vos informations par email ou via un formulaire de la sorte. Si ils vous envoient un email pour vous demander vos informations et que vous êtes client dans cette société, dites vous qu'ils connaissent déjà votre profil, cela n'a donc pas de sens. La logique veut déjà qu'ici vous commenciez à être suspicieux.

2. Vous n'êtes pas client dans cette société

Je ne sais pas vous, mais personnellement je ne suis pas client chez Free.fr alors que l'email est en provenance d'une email no-reply@free.fr. N'ayant jamais eu de contact avec eux, les probabilités que l'email soit un scam viennent d'augmenter considérablement.

3. Le lien ne correspond pas

En passant la souris sur le lien "accéder à votre compte", on y voit un lien de type: http://abonemmenXXXX.com/forms.fr/
Avec ces éléments, le doute n'est plus permis, c'est bel et bien une arnaque, Free.fr n'aurait aucune logique à faire remplir un formulaire sur un autre site que le sien. Jetez cet email directement, ou continuez la lecture pour en apprendre un peu plus pour les cas plus difficiles à comprendre.

4. Une société ne met pas de majuscules partout

Nous vous prions de bien vouloir vous connecter a votre compte ,Et Reactivez vos informations confidentielles !!


Quand vous lisez cette phrase d'introduction, vous devriez voir des petites typos comme " ,Et" et "!!". Un email écrit par une bonne équipe de marketing, et je vous assure que des sociétés comme Free.Fr et similaires ont de bonnes équipes, ne fera pas 3 erreurs de ce type sur une seule phrase. Premièrement on ne met pas une majuscule après une virgule, deuxièmement on ne met pas l'espace avant mais après la virgule et pour finir on insiste pas dans un email commercial avec deux points d'exclamations.

Vous avez toujours un doute? On continue!

5. Free.Fr n'écrit pas de Hollande

Ouvrez les headers de l'email, et rapportez vous aux dernières lignes "Received: ". Vous pourrez y trouver par exemple ceci:

Received: from [109.236.85.235] ([127.0.0.1]) by WORLDST-FIMV0MS with Microsoft SMTPSVC(7.5.7601.17514);
Thu, 9 Aug 2012 08:27:42 +0200


Les lignes received vous exepliquent par où est passé l'email, les dernières étant la source de votre email. On voit donc que l'IP 109.236.85.235 est l'origine de cet email. Cela ne vous apprendrait pas grand chose sans des outils comme RIPE qui vous donnent les informations sur le propriétaire de l'IP.

http://apps.db.ripe.net/search/query.html?form_type=simple&searchtext=109.236.85.235#resultsAnchor


inetnum: 109.236.85.0 - 109.236.85.255
netname: WORLDSTREAM
descr: WorldStream IPv4.28
country: NL
admin-c: WS1670-RIPE
tech-c: WS1670-RIPE
status: ASSIGNED PA
mnt-by: MNT-WORLDSTREAM
source: RIPE #Filtered


L'IP appartient à une société hollandaise qui héberge des serveurs à Maasdijk en Hollande. Même si on ne peut pas toujours affirmer que c'est impossible, la probabilité que Free.fr envoie des emails à partir de la Hollande pour ses clients est proche de 0.

6. Un mail légitime n'est pas un flood

Lors de la rédaction de cet article, j'ai reçu 2 fois l'email en moins d'une heure, et je l'avais déjà reçu de nombreuses fois les jours précédents. Il est impossible qu'une société légitime se permette d'envoyer autant d'emails avec le même contenu sur une période aussi proche.

Mais admettons, ce matin vous étiez mal réveillé et vous avez cliqué sur le lien sans vous apercevoir de rien du tout.

7. L'usurpation n'est pas traitée en masse

images/articles/article12502/01.png

La première chose est bien sûr de vérifier l'adresse dans la barre d'adresse, elle n'appartient pas à Free.fr et devrait très clairement vous mettre la puce à l'oreille.

Pour le contenu de la page, même si cela semble véridique, on voit déjà que la dernière phrase n'est pas complète, et on vous demande de redonner toutes vos informations car vous avez été prétendument victime d'une usurpation d'identité. Cela n'arrivera jamais!

Bien sûr vous pourrez être victime d'une usurpation d'identité, mais si cela était le cas, pensez-vous réellement que Free.fr vous enverrait un email impersonnel vous redemandant jusqu'à la couleur de votre slip?

8. Use the source, luke

Si vous avez toujours un doute, allez voir le code source de la page pour rire, vous verrez par exemple ceci en tout début de page:

<!-- saved from url=(0055)http://adslcgi.free.fr/subscribe/NDI0_indexnewline.html -->


Ceci vous indique que la page a été sauvée d'une autre page et adaptée à la va vite pour faire croire à une page de free. Ceci n'est en principe jamais sur une page, je me demande même encore comment le pirate ici a laissé ces informations dans la page.

9. Il me manque des bouts du formulaire

images/articles/article12502/02.png

En cliquant sur le bouton suivant, plus besoin de conditions générales de vente on passe directement à la page 3 pour vos coordonnées. Pas super réaliste tout de même.

Mais ici cela devient assez grandiose, on vous demande votre email, et la ligne en dessous le mot de passe de votre email. Si vous remplissez cela, il n'y a plus aucune chance pour vous, votre cas est réellement désespéré et votre crédulité n'a plus d'égal...

Pour l'exemple, nous l'avons rempli avec des données fictives, et remarquez d'ailleurs que le champ mot de passe n'est pas un réel champ mot de passe, il vous l'affiche en clair. Cela ne donne aucune sécurité d'avoir les étoiles à la place de votre mot de passe, mais l'enfer se cache dans les petits détails comme ceci.

10. On ne vous demandera pas les coordonnées bancaires

images/articles/article12502/03.png

Encore une fois, aucune chance qu'une société vous demande ces informations par email, on ne vous demandera JAMAIS vos coordonnées bancaires et toutes vos informations bancaires.

11. Le domaine n'appartient pas à Free

On vous l'a déjà signalé, mais si vous avez un doute sur le domaine, vous pouvez utiliser des outils tels que domaintools. Le domaine ici vous donnera des informations comme:

http://whois.domaintools.com/abonemmentsadsl.com

Domain name: abonemmentsadsl.com

Registrant:
Abderrahim (SROW-XXX)

khadijaXXXX@yahoo.fr
11 rue des jardins
Paris PARIS
75011 FR
+33 XXXX

Administrative contact:
Khadija XXX (SRCO-XXX)

khadijaXXXX@yahoo.fr
11 rue des jardins
Paris PARIS
75011 FR
+33 XXXX

Technical contact:
Khadija XXX (SRCO-XXX)

khadijaXXXX@yahoo.fr
11 rue des jardins
Paris PARIS
75011 FR
+33 XXXX


Nous avons volontairement modifié certaines informations, la personne ayant enregistré le domaine s'étant probablement servi de coordonnées d'une personne arnaquée via une action similaire. Mais pour l'exemple, il est clair que Free.fr n'utilise pas un domaine créé par une gentille Khadija ayant une email yahoo.fr

12. Vous êtes foutu

images/articles/article12502/04.png

Si avec tout cela vous arrivez tout de même sur cette page, remplie de fautes, et que vous avez rempli le formulaire, il ne vous reste plus qu'à changer immédiatement votre mot de passe pour votre email et de bloquer votre carte bancaire via le service approprié.
Retour