Depuis plus de 10 ans, je détiens un compte e-mail Yahoo! où je ne vais jeter un coup d'oeil qu'une fois tous les tremblements de Terre. Son unique utilité est de servir de poubelle à spam. Par exemple, à chaque fois que je dois donner une adresse courriel valide pour avoir le droit de télécharger un logiciel "gratuit", je donne celle de mon compte Yahoo!
Si vous avez déjà téléchargé Adobe Acrobat Reader, par exemple, ou Winzip, WinAmp et autres Winrar, vous savez de quoi je parle. On vous demande votre adresse courriel, puis on vous demande de lire les "Terms of Use" (conditions d'utilisation). Bien sûr, comme moi, vous cliquez sur "I agree" sans hésitation. Qui a le temps de faire 4 ans de droit pour comprendre qu'il se fait entuber dans ce texte de huit kilomètres de long?
Depuis le temps, je vous avoue que ce compte mail Yahoo! ne refroidi pas. La merde y entre à raison de centaines de spams à chaque semaine. De temps en temps, j'y passe et je delete en masse, question de libérer un peu de place pour la prochaine volée de caca numérique.
Or, ce soir, mon regard a été attiré par un truc amusant. Un mail de Phising. Ils sont légion mais je n'en avais pas encore vu de ce type. Pour les moins familiers d'entre-nous, le Phishing (ameçonnage) est une bête méthode d'escroquerie où l'on cherche à vous amener vous-même à fournir des données confidentielles à des trous-de-culs. Le grand classique est le courriel de votre banque vous annonçant qu'ils ont rénové leur site et que vous devez vous y rendre afin d'y ré-entrer vos noms, numéros de comptes et n.i.p.
Oui, y'a des caves qui le font.
Faut dire que c'est souvent rudement bien fait. Visuellement, le courriel est habituellement très crédible. Le lien hyper-texte à cliquer semble légitime... par exemble: http://www.rbc.com pour la Banque Royale. Ce que beaucoup de gens ignorent c'est que ça ne garanti rien du tout.
Internet est constitué de millions d'ordinateurs interconnectés. Afin de s'y retrouver, chaque site est doté d'une adresse constituée d'une séquence de 4 numéros séparés par trois points. (exemple au pif: 266.197.255.1). C'est ce qu'on appelle un DNS (adresse Domain Name System). Quand vous voyez une adresse du genre www.grossesboules.com, songez que ces mots n'ont qu'une valeur pratique, puisqu'il est plus aisé de se souvenir de "grosseboules.com" que de 266.197.255.1. Mais en fait, les mots n'ont pas d'importance. Ce sont les nombres derrière eux qui comptent.
Essayez! Croyez-vous que le lien http://www.sitedecul.com va vous mener vers un site de cul? Placez donc votre curseur sur ce lien (sans cliquer) et regardez ce qui apparaît dans votre barre de statut (la barre grise tout en bas de votre fureteur).
Il est donc hyper facile de vous présenter un lien qui mène en réalité ailleurs que ce qu'il indique (sauf que si, par contre, vous tapez "sitedecul.com" dans votre barre d'adresse et que vous appuyez sur [ENTER], là oui c'est une autre histoire. D'ailleurs j'étais crampé de constater que ce nom idiot, garoché dans ce texte pour vous faire sourire, est un site qui existe bel et bien).
Évidemment, si les fraudeurs font leur boulot correctement, le site bidon où vous vous retrouverez ressemblera en tous points au site officiel de votre institution financière.
Mais je vous en reviens à mon fameux mail de Phishing reçu sur Yahoo!Mail. Le voici:
Notez le culot du ou des crosseurs qui se permettent de menacer en lettres rouges. Et jusqu'au copyright gris-pâle tout en bas. On les comprend! Ils organisent tout un scénario pour vous enfiler vite-fait, faudrait quand même pas que vous les fassiez chier à leur refiler des infos ripoues!
Ça m'a fait rigoler pour tout plein de raisons, ce truc. D'abord, parce que y'a probablement quelques beignes qui vont se faire avoir et qui perdront le contenu de leur compte-épargne (voir qui se feront piquer leur identité) pour la merdique somme de $109.23 qu'ils croient que le fisc leur enverra. Et puis faut quand même être culotté pour se dissimuler sous l'apparence du ministère du Revenu pour éponger ses concitoyens. Je sais: le gouvernement ne se gêne pas pour nous voler nos sous mais, justement, il déteste la concurence.
À titre d'info, le lien "click here" suit l'adresse suivante:
https://host592.ipowerweb.com/~i2wicein/osCommerce/catalog/images/.secured/.server/.online/.data/.refunds
/lake1.php
Nous sommes loins de l'IRS à mon avis.
S'il vous arrive un jour de nourrir des doutes sur la légitimité de mails de ce genre que vous auriez reçus, la première chose à retenir est évidemment que JAMAIS vous ne devez fournir des infos personnelles par retour de courriel, peu importe de qui semble provenir la demande. Aussi, n'hésitez pas à vérifier où mène le lien qu'on vous demande de suivre. NE CLIQUEZ PAS DESSUS !!! Certaines pages web malicieuses sont programmées pour vous schnoutter votre ordi dès qu'elles s'affichent à l'écran (et pour peu que votre anti-virus ne soit pas top-top, vous êtes cuit).
Placez simplement votre curseur sur le lien et observez la barre de statut. C'est déjà un indice. Mais sachez qu'un mail bien programmé saura déjouer cette technique toute simple. Heureusement, ces mails sont plus rares.
Prenez note que, de plus en plus, les programmes anti-virus et les fureteurs (Internet Explorer, Firefox, etc) offrent des options de vérification de légitimité des adresses. N'hésitez pas à vous en prévaloir. Bien sûr, le petit cadenas jaune en bas à droite de votre fenêtre est un bon indicateur. S'il est absent, c'est que le site sur lequel vous être n'est pas encrypté. Il ne peut donc pas s'agir d'un site commercial, bancaire ou gouvernemental légitime.
Finalement, pour ceux qui comme moi aiment parfois prendre le temps de faire chier un ti-peu tous ces emmerdeurs, il reste l'option d'examiner les "Internet Headers" du mail incriminé. (via Outlook, par exemple, sélectionnez le courriel, cliquez dessus avec le bouton de droite de votre souris et choisissez "Options...". La boîte suivante apparaîtra:
En bas, dans les Headers, on trouve des trucs intéressants. Oui, à première vue, ça ressemble à du chinois. (à deuxième vue aussi d'ailleurs). Mais ce que vous devez rechercher, ce sont les adresses I.P. par lesquelles le courriel a transité.
Tout comme un DNS, qui identifie un site web, une adresse IP (Internet Protocol) est faite de quatre chiffres séparés par des points. L'adresse IP identifie une machine. Chacun d'entre-vous a la sienne. Elle est unique. C'est votre fournisseur d'accès Internet qui vous l'attribue.
Ici, j'y trouve 63.170.142.141 et 65.38.113.67
Ça signifie que le mail a transité par ces deux machines. Ça ne sera malheureusement pas suffisant pour identifier mon escroc. Mais c'est bien assez pour espérer lui causer des ennuis.
Muni de ces I.P., je me rends sur un site WHOIS. Littéralement: WHO IS? (qui est-ce?). J'ai qu'à taper whois dans google et j'obtiens des tas de sites m'offrant d'identifier gratuitement les propriétaires d'adresses I.P. Dans ce cas-ci, j'opte pour le premier sur la liste: www.who.is
Je tape l'IP dans la fenêtre de recherche...
La première me dit que l'IP appartient à:
WHO.IS : 63.170.142.141
OrgName: Sprint
OrgID: SPRN
Address: 12502 Sunrise Valley Drive
City: Reston
StateProv: VA
PostalCode: 20196
Country: US
La compagnie Sprint! Good. C'est une grosse boîte. C'est du sérieux. Au moins c'est pas un fournisseur merdique de Corée du Sud ou de Singapour.
Le second IP:
WHO.IS : 65.38.113.67
OrgName: VeriCenter, Inc.
OrgID: VRCT
Address: 757 N Eldridge Parkway
City: Houston
StateProv: TX
PostalCode: 77079
Country: US
Le WHOIS me donne en plus de ça des tonnes d'infos incompréhensibles pour le profane que je suis, mais ce que je cherche est une adresse courriel commençant par abuse@
Tous les serveurs Internet sont tenus d'offrir une adresse pour accueillir des plaintes, et toutes sont constituées du préfixe abuse suivi de l'arobas puis du nom de domaine.
Il ne me reste qu'à envoyer le courriel incriminé à abuse@sprint.net et à abuse@vericenter.com . abuse@ipowerweb.com aussi aura droit à sa copie puisque le lien suspect (click here) mène chez eux.
Je n'ai même pas à leur taper une histoire. Par contre, il ne faut JAMAIS faire suivre (forward) le courriel de pshishing. Assurez-vous d'écrire une nouveau courriel, et d'y ATTACHER le mail frauduleux. C'est la seule façon qui permettra au service des plaintes de ces fournisseurs de lire eux-même les Headers.
Savoir lequel de leurs clients utilisait cet I.P. au moment où le mail a été envoyé sera un jeu d'enfant pour eux. Normalement, ils prendront des mesures.
Ne vous attendez cependant jamais à recevoir la moindre réponse de ces gens-là. Ils ont simplement trop de boulot.
Oh, en terminant... vous avez peut-être remarquée une adresse web dans le Header: newmail.m2ns.com. Elle mène vers ceci:
Une boîte courriel, probablement. Par contre, www.m2ns.com m'affiche cette page:
Il est tout à fait plausible que le courriel frauduleux originait de quelqu'un chez M2SN.com. Si ce site est hébergé via un serveur client chez Sprint ou VeriCenter, va probablement y avoir du brasse camarade chez eux dans pas longtemps.