Comme beaucoup de monde, je reçois régulièrement des mails de type spam, phishing, ...
J'en ai reçu un récemment que je vous propose d'analyser.
Comme on le voit, il s'agit de se faire passer pour le fournisseur d'électricité historique. A part la faute d'orthographe, il est fait référence à un prélèvement erroné et on m'invite à me connecter et à mettre à jour mes données pour procéder au remboursement.
A titre de comparaison, voici un mail authentique :
A noter l'adresse de l'expéditeur :
- Arnaque : edf@particuliers-edf.fr
- Authentique : votre-conseiller@relation-client-edf.com
Voyons maintenant qui se cache derrière le nom de domaine "particuliers-edf.fr". Pour cela, j'interroge un service de type WHOIS, par exemple https://www.whois.net.
Il en ressort que le domaine est enregistré chez 1&1, à KARLSRUHE (Allemagne), avec un contact
à Sarreguemines (57200).
Voyons où se trouve le serveur qui héberge ce domaine. Un NSLOOKUP sur particuliers-edf.fr renvoie l'adresse IP 217.160.29.236, qui se trouve effectivement chez 1&1 en Allemagne :
Examinons maintenant le contenu du mail. Le lien à cliquer pointe sur http://82.223.26.90/input.html
Nouvelle adresse IP qui se trouve ... en Espagne :
La page HTML input.html est un peu bizarre : un renvoi vers http://particuliers-edf.fr/le-groupe-edf-3 et ensuite des commentaires sans trop de rapport.
Je cherche un fichier index.html et le voici en effet (la plupart des antivirus le détectent comme hameçonnage) . Il reprend le look du site EDF (voir dessous) et le formulaire propose de commencer par choisir sa banque ...
En résumé, soyez vigilants et restez sur vos gardes.
Aucun commentaire:
Enregistrer un commentaire