Category Archives: Blog

[alerte phishing] Phishing banque postale : Votre compte online

Posted on by
Reply

Le phishing du jour vise les clients de la banque postale. Sous pretexte de mettre à jour les informations de connexion du client de la banque, il lui est demandé de cliquer sur un lien pointant vers un formulaire contrefait permettant a l’attaquant de récuperer les identifiants de connexion de la victime.

Voici une copie du mail de phishing :

Cher client de la Banque Postale,
Afin d’améliorer la sécurité de base de données de nos clients en ligne, nous avons besoin de garder à jour vos informations de connexion en ligne. Vous êtes tenu pour remplir notre formulaire en ligne la validation du compte en cliquant sur le suivant lien:

Cliquez ici pour accéder au formulaire en ligne

Notez que cette mesure de sécurité est destiné à protéger vos renseignements personnels informations pour la 3e partie, l’accès et éviter l’utilisation non autorisée de la compte.

S’il vous plaît remplir chaque champ correctement afin d’éviter toute inadéquation avenir débouchera sur le blocage de votre accès en ligne.

Je vous remercie,
Phillip Markham,
IT Assistant de sécurité,
Banque Postale.

Et une capture d’écran du mail, tel qu’il se présente lorsque la victime de cette campagne de phishing le reçoit :

Exemple de phishing visant les clients de la banque postale

[alerte phishing] gmail : “Gmail! Security Center” New Security Features Added To Your Gmail!

Posted on by
1

Une campagne de phishing ciblant les utilisateurs du webmail Gmail est en cours.

Sous pretexte d’une  vérification de sécurité le mail d’hameçonnage incite la cible à se rendre sur un site contrefait pour de lui dérober ses identifiants Gmail.

Voici une capture d’écran du mail de phishing :

Capture d'écran d'un mail de phishing gmail

Et une capture sur site contrefait vers lequel la cible est dirigée si elle clique sur le lien :

Capture d'ecran d'un site contrefait Gmail

Enfin voici le texte “brut” du mail de phishing :

Dear Customer,

Several Incorrect passwords has been tried in your
Account. so we will like you to login your account using the link below
Login Now

However, Failure to do so may result in account suspension.
Please understand that this is a security measure intended to help protect you and your account.
We apologize for any inconvenience.

Thanks for your co-operation.

Fraud Prevention Unit
Legal Advisor
Gmail Security.

[alerte phishing] Your Skype account needs update

Posted on by
Reply

Depuis quelques jours un mail de phishing visant les utilisateurs du service de voip Skype circule.

Le mail d’hameçonnage a pour titre “Your Skype account needs update”, il demande à la cible de vérifier son compte Skype. Bien entendu les liens renvoient vers des sites contrefaits, le but des cette campagne étant de récolter le couple identifiant/mot de passe des destinataires de cette campagne de phishing.

Voici le contenu du mail :

Please Verify Your Skype Account

Your account has been randomly selected for Skype account verification, and you will be taken through a series of identity verification pages.Protecting the security of your Skype account is our primary concern, and we apologise for any inconvenience this may cause.
please login to your account by secure Skype login site https://www.skype.com

Capture d’écran du mail de phishing Skype :

Capture d'écran Phishing Skype

[tuto] Créer des règles dans Thunderbird pour trier les mails classifiés par Protecmail

Posted on by
Reply

Nos services de filtrage de messagerie mettent par défaut les mails indésirables en quarantaine, cependant il est possible de changer cette configuration pour que ces mails soient marqués puis transmis normalement vers votre serveur mail.

Je vais vous présenter dans ce billet comment créer des règles de tri dans Thunderbird pour classer les spams, les publicités et les mails contenant des virus dans des dossiers spécifiques.

Ce tutoriel va aussi être utile pour tout ceux d’entre vous qui utilisent notre service gratuit Free Gateway, car ce dernier ne dispose pas de quarantaine.

Les règles de tri vont utiliser l’en-tête X-PM-Scan qui est ajoutée par nos scanners à l’issue de l’analyse de chaque mail.

Cet en-tête (header) peut prendre trois valeurs :

  • SPAM : si le mail est classifié comme spam.
  • VIRUS : si le mail contient un programme malveillant.
  • BULK : si le mail est classifié comme étant une publicité et/ou un mail de marketing direct.
 Nous allons commencer par ajouter trois dossiers : Spams, Virus, Publicités dans notre boite de reception. Pour cela , il suffit de faire un clic droit sur la boite concernée et de cliquer sur le menu contextuel “Nouveau dossier…” :

Menu de creation de dossier thunderbird

Nous allons ensuite créer 3 règles de filtrage. On ouvre le gestionnaire de filtres en cliquant sur “Outils” dans la barre de menu, puis sur “Filtres des messages” :

Menu pour créer yun filtre dans thunderbird

Pour créer un nouveau filtre, on clique sur… “Nouveau…” :

Bouton pour créer un nouveau filtre dans thunderbird

Nous allons créer le filtre chargé de trier les spams et on va le nommer “PROTECMAIL – SPAM”.

Le champs de recherche va être le header “X-PM-Scan“, cette en-tête n’existant pas par défaut nous allons devoir la créer en cliquant sur le menu “Personnaliser…” du menu déroulant qui par défaut affiche “Sujet” :

Menu permettant de créer un nouveau paramètre de recherche dans thunderbird

Un nouvelle boite s’ouvre, elle va nous permettre de définir ce nouveau header en inscrivant “X-PM-Scan” dans le champs “Nouvel en-tête de message“ :

Comment définir le header personnalisé servant de champ de rechercher dans thundebird

Dés lors nous pouvons sélectionner cet en-tête comme champ de recherche pour notre règle de tri :

Sélectionnez le header X-PM-Scan spécifique a Thunderbird

Si un mail est classifié par les scanners Protecmail comme spam, le champ “X-PM-Scan” va contenir : “SPAM”. Nous allons donc configurer notre règle de tri pour agir si ce cas se présente :

Le filtre Thunderbird complet pour utiliser la classification protecmail.

Après avoir configuré les conditions qui vont déterminer si la règle de tri doit agir, on doit à présent configurer l’action à réaliser. En l’occurrence, nous voulons déplacer le message dans le dossier correspondant à la classification déterminée par le filtrage Protecmail. Nous allons donc sélectionner comme “action à exécuter” : “Déplacer le message vers” et sélectionner le dossier correspondant (ici Virus car la règle de cette capture d’écran est celle pour trier les virus) :

La règle de filtrage va déplacer les mails dans ce dossier

Voila vous avez créé votre premiere règle, il ne vous reste plus qu’a créer les suivantes, pour trier les virus et les publicité en utilisant respectivement les marqueurs VIRUS et BULK.

Lorsque vos trois règles seront configurées, chaque nouveau mail, si il s’agit d’un spam, d’un virus ou d’une publicité, sera automatiquement classé dans le bon dossier. Votre dossier principal ne contiendra que les mails important et ne sera plus pollué par les mails non sollicités.

Si vous n’utiliser pas – encore – nos services de filtrage et de protection de messagerie, sachez qu’il n’est jamais pas trop tard pour bien faire ;-)
Vous pouvez tester gratuitement pendant 30 jours nos offres payantes ou vous inscrire pour utiliser notre offre gratuite Free Gateway.

 

Free Gateway : Notre service gratuit de protection de messagerie

Posted on by
1

Nous sommes heureux de vous annoncer la naissance de notre nouvelle offre : Free Gateway.

Comme son nom peut le laisser penser, la spécificité de cette offre est qu’elle est gratuite. En effet, nous avons voulu fournir une solution de protection de messagerie à tout ceux qui n’ont pas un usage intensif de leur service mail – justifiant un service payant – mais qui pour autant aimeraient bénéficier de nos services pour filtrer leur flux d’e-mails et protéger leur messagerie.

Cette offre comprend les services suivant :

Contrairement à nos offres payantes, le service Free Gateway, ne dispose pas de quarantaine. En contre partie, après analyse, si un mail est considéré comme spam, phishing, publicité ou si il contient un virus il sera marqué au niveau du sujet et des entêtes (headers). Ce marquage va permettre de le distinguer des mails légitimes et de le classer  facilement au niveau de votre logiciel de messagerie ou directement sur votre serveur mail.

Cette offre gratuite va permettre de protéger la messagerie d’un domaine à hauteur de 20 comptes de messagerie (adresses e-mail distinctes). Elle comporte par défaut une capacité de filtrage permettant d’analyser 6000 mails par mois. Notez que vous pouvez à tout moment augmenter cette capacité de filtrage pour l’adapter à vos besoins en vous procurant des jetons de filtrage. Si vous dépassez cette limite et que vous n’avez pas de jetons de filtrage, vos mails seront tout de même pris en charge et délivrés, vous bénéficierez de la protection contre les attaques et du service de rétention en cas d’indisponibilité de votre serveur mais les mails ne seront plus classifiés.

Je vous invite a consulter la page de notre site dédiée à ce nouveau service pour avoir plus d’informations et pour vous abonner.

Si vous avez des questions concernant cette formule, n’hésitez pas à les poser en commentant ce billet.

Note : pour garantir la qualité ne nos services, le nombre d’abonnements gratuits est limité. Si il n’y à plus d’abonnements disponibles au moment ou vous visitez notre site, ne vous inquiétez pas nous en rajoutons régulièrement. Suivez notre compte Twitter pour rester informé de la disponibilité de cette offre.

On ne va pas…

 

[alerte phishing] Confirmation CERTICODE sur votre compte courant postal

Posted on by
2

Une campagne de phishing est en cours, elle vise les clients de la banque postale.

Le mail d’hameçonnage se présente sous la forme d’une demande de confirmation du Certicode :

Capture d'ecran phishing banque postale

Le lien renvoi sur un site contrefait qui a pour but de subtiliser les identifiants du client de la banque postale :

Site contrefait banque postale

On notera que le texte du mail est en fait composé d images :

<HTML><HEAD><TITLE>Untitled-2</TITLE>
<META content=3D"text/html; charset=3Dutf-8" http-equiv=3DContent-Type=
></HEAD>
<BODY leftMargin=3D0 topMargin=3D0 bgColor=3D#ffffff marginheight=3D"0" marginwidth=3D"0"><!-- Save for Web Slices (Untitled-2) -->
<TABLE id=3DTable_01 border=3D0 cellSpacing=3D0 cellPadding=3D0 width=3D=
767 height=3D543>
<TBODY>
<TR>
<TD><IMG alt=3D"" src=3D"cid:015522113@22022012-2880" width=3D767 heig=
ht=3D333></TD></TR><TR><TD><A href=3D"http://letosolar.com/scrfflushs"><IMG border=3D0 alt=3D="" src=3D"cid:015522113@22022012-2887" width=3D767 height=3D31></A></T=D></TR><TR><TD><IMG alt=3D"" src=3D"cid:015522113@22022012-288E" width=3D767 height=3D179></TD></TR></TBODY></TABLE><!-- End Save for Web Slices --></BODY></HTML>

Le but de cette pratique est de donner un minimum d’information sémantique pour contourner les analyses sémantiques des scanners de filtrage anti-spam et anti-phishing.

[ALERTE PHISHING] Phishing Free “Cher client”

Posted on by
2

Une campagne de phishing est  actuellement en cours, elle vise les clients Free.

Le mail de phishing est trés simple, par de fioriture HTML, ni de domaine spoofé dans l’URL.

Voici une capture d’écran :Copie du mail de phishing free cher client

Voici le texte du mail de phishing :

Cet email a ete envoye par L equipe Free.fr pour vous informer que vous dev=
ez activez votre compte .

nous vous invitons a confirmer et mettre a jour votre compte =

aujourd'hui en cliquant sur le lien ci-dessous:

http://193.XX.XXX.X/free.php

Nous vous remercions de votre confiance.

Le site contrefait est quand à lui réalisé dans “les règles de l’art” :

Site free contrefait

Pour éviter les soucis liés au phishing, pensez à utiliser nos services de filtrage de messagerie.

Top 10 des expressions les plus fréquentes dans les spams

Posted on by
1

Enlarge your péniche(© HellgY)

Voici un petit TOP 10 des expressions les plus fréquentes dans les spams anglophones :

  1. Meet Singles - Un des sujets les plus utilisés dans les spams à caractère pornographique.
  2. Work From Home - Trés “vendeur” en ces périodes mouvementées…
  3. Business Opportunity - Essentiellement utilisé pour les spams Nigériens (419).
  4. Buy Direct - Une des phrases favorites des spammeurs souhaitant promouvoir des articles contrefaits ou des medicaments (viagra, cialis, plavix, crestor…).
  5. Clearance - Les spammeurs adorent distiller un sentiment d’urgence pour inciter les victimes à agir sans trop réfléchir.
  6. Pre-approved - Utilisé dans les spams financiers, en particulier pour promouvoir des crédits.
  7. Hello - La fréquence de ette expression n’est pas spécifique aux spams, mais pour le spammeur elle présente l’avantage de créer un lien amical avec sa “victime”. Elle  va penser que c’est une connaissance qui lui envoi un mail et elle va donc plus facilement consulter le message.
  8. You Have Been Selected - Utilisé dans les spams ventant de prétendues lotteries.
  9. Weight Loss - Pour promouvoir des médicaments sensés faire maigrir.
  10. Limited Time - Utilisé dans les sujets des spams pour créer un sentiment d’urgence.

DMARC : Un nouveau standard pour lutter contre le phishing

Posted on by
1

DMARC graphique logo

DMARC (Domain-based Message Authentication, Reporting and Conformance) est né de la collaboration de nombreux acteurs majeurs d’internet. Son but de de définir un nouveau standard pour lutter contre les mails de phishing.

Qui est derriere DMARC ?

Le consortium qui travaille depuis 18 mois sur cette nouvelle spécification est initialement  constitué des acteurs suivant :

  • Agari
  • American Greetings
  • AOL
  • Bank of America
  • Cloudmark
  • Comcast
  • Facebook
  • Fidelity Investments
  • Google
  • LinkedIn
  • Microsoft
  • PayPal
  • Return Path
  • The Trusted Domain Project
  • Yahoo!

En quoi consiste DMARC ?

DMARC est avant tout une spécification, permettant aux expéditeurs et aux destinataires de mail d’échanger des informations. L’authentification de l’expéditeur se base sur deux techniques déjà éprouvées : SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail).

Concernant l’expéditeur :

  • Il va signaler que son domaine utilise les systèmes d’authentification SPF et DKIM.
  • Il va spécifier une adresse e-mail de feedback qui va permettre de lui signifier des problèmes concernant les mails liés à son domaine (légitimes ou pas).
  • Il va définir la politique à appliquer si un mail reçu de son domaine échoue aux tests d’authentification SPF et/ou DKIM.
    Il y à trois actions possibles:

    1. Report : L’expediteur est prévenu du problème via son adresse de feedback.
    2. Quarantaine : Le mail est mis en quarantaine.
    3. Rejet : Le mail est rejeté.

Concernant le destinataire :

  • De part la déclaration faite par l’expéditeur, il va savoir de façon certaine si le domaine utilise des processus d’authentification  SPF et DKIM.
  • Il va pouvoir tester les mails reçu pour contrôler que les enregistrements et signatures SPF et DKIM sont valides.
  • Il va savoir quoi faire du mail (report, quarantaine ou rejet) si les tests SFP et DKIM échouent.
  • Il va savoir comment fournir un feedback à l’expéditeur en cas de problème avec des mails de son domaine.

DMARC annonce t’il la fin du phishing ?

Dans ce domaine comme ailleurs il n’y a pas de balle en argent.
Cette méthodologie ne va pas éliminer le phishing car un mail de phishing peut parfaitement répondre aux spécification de DMARC. Par exemple l’attaquant peut trés bien utiliser un nom de domaine qui va ressembler au domaine à attaquer (ma-banque.com pour mabanque.com par exemple) et le configurer pour qu’il suive les recommandations DMARC.

Ce n’est pas pour autant un coup d’épée dans l’eau, DMARC est un outils supplementaire qui va fournir des informations utiles pour la classification des e-mails, mais à lui seul il ne sera pas suffisant pour éradiquer le phishing.

 

Le botnet Kelihos reprend du service

Posted on by
1

Le botnet kelihos

Désactivé par les efforts conjoints de Microsoft et de Kaspersky en septembre dernier le botnet Kelihos, tel le Phoenix, semble renaître de ses cendres.

Le botnet Kelihos à infecté prés de 45 000 ordinateurs à travers le monde, à sa grande époque il envoyait jusqu’à 4 milliards de spams par jour.

En septembre 2011, les chercheurs en sécurité de Microsoft et de Kaspersky ont réussi a prendre la main sur le botnet  en détournant les requêtes de controle du botnet vers une machine qu’ils contrôlaient. Hélas il semblerait que les forces obscures ont réussi à contourner les contres mesures et ont repris le controle des machines composant le botnet.

De plus il semblerait qu’une nouvelle version de Kelihos à vu le jour, sa principale modification est de chiffrer les communications entres les différents noeuds du réseau pour rendre plus difficile le travail des chercheurs en sécurité.

Cette nouvelle aventure du botnet Kelihos fait suite à l’annonce de Microsoft qui il y a quelques jour à annoncé avoir “découvert l’auteur du botnet Kelihos“. Visiblement il n’était pas le seul à avoir les clés du réseau…