Phishing : étude d'un cas avec Fnac.com

Salut les amis ! Oui, ça fait longtemps que je n'ai rien publié sur le blog, mis à part les posts automatiques Instagram.

Mais voilà, j'ai reçu un joli mail tout à l'heure comme quoi j'avais commandé un iPhone à 900€ !
L'occasion de faire un petit tuto sur le démasquage de phishing. Partons à la pêche !


Comme je déteste les produits de cette secte, j'ai d'abord pensé à un piratage de mon compte Fnac.

J'y fait un tour mais aucune trace de la commande (ni de mes commandes officielles d'ailleurs...). J'en profite pour virer ma CB enregistrée et changer mon mot de passe, on n'est jamais trop prudent.

Du coup je regarde le mail d'un peu plus près pour voir le type d'arnaque que ça peut être.


On remarque que l'adresse mail de l'expéditeur est officielle (ou semble l'être). Piratage du compte mail de la Fnac ? Je sais pas.
En fait ce n'est pas une vraie commande. Le but est justement que vous preniez peur pour annuler cette commande factice. Le mail précise aussi une livraison chez un mec au nom africain en Seine Saint de Denis mais avec votre adresse comme facturation, histoire de bien jouer sur la peur de l'arnaque du numéro de CB volé.
En passant la souris sur le bouton "annuler la commande", on remarque qu'il ne pointe pas sur le site de la Fnac mais sur market-fr.host avec un script php indiquant vos coordonnées. D'ailleurs c'est mon ancienne adresse et elle n'est pas enregistrée sur la Fnac. Donc faut croire qu'elle traine dans une base de donnée de piratins et associée à une de mes adresses mail...

Hop, je clic pour voir où cela mène.
Le site renvoi alors vers un phishing bien vicieux à l'adresse www.fnac.com.pay-remboursement.host/facturation.php. Vous croyez être sur la Fnac ? Pas du tout. Vous êtes sur pay-remboursement.host dans son sous domaine www.fnac.com. Un sous domaine, c'est un peu comme un sous répertoire pour l'adresse d'un site. Ça permet de l'organiser en section. Par exemple, mon blog RomSonicZone est un sous domaine de Blogspot.com, l'hébergeur.

Bref, l'escroc est un peu plus malin que la moyenne car beaucoup de gens ne verrons que le début de l'URL, c'est à dire www.fnac.com.
Le script php précédent à donc remplis le formulaire. Plus qu'à ajouter son numéro de téléphone (histoire de fournir d'autres infos...) !
Ensuite le formulaire demande bien évidemment votre numéro de CB histoire d'être délesté remboursé de 920€. Mais bien sur...


Voyons un peu qui se cache derrière pay-remboursement.host. Avec les infos du site Whois.com on découvre que le petit malin à ouvert son domaine récemment, le 13/09/2018 via un registrar américian (PublicDomainRegistry.com). Mais pas beaucoup plus d'infos car il a demandé l'anonymat.


Par contre, il y a l'adresse mail de PublicDomainRegistry.com pour signaler les abus. Ils vont recevoir un petit mail...
Share on Google Plus

About RomSonic

    Blogger Comment
    Facebook Comment

0 commentaires:

Enregistrer un commentaire