[alerte phishing] Your Skype account needs update

Depuis quelques jours un mail de phishing visant les utilisateurs du service de voip Skype circule.

Le mail d’hameçonnage a pour titre “Your Skype account needs update”, il demande à la cible de vérifier son compte Skype. Bien entendu les liens renvoient vers des sites contrefaits, le but des cette campagne étant de récolter le couple identifiant/mot de passe des destinataires de cette campagne de phishing.

Voici le contenu du mail :

Please Verify Your Skype Account

Your account has been randomly selected for Skype account verification, and you will be taken through a series of identity verification pages.Protecting the security of your Skype account is our primary concern, and we apologise for any inconvenience this may cause.
please login to your account by secure Skype login site https://www.skype.com

Capture d’écran du mail de phishing Skype :

Capture d'écran Phishing Skype

[alerte phishing] Confirmation CERTICODE sur votre compte courant postal

Une campagne de phishing est en cours, elle vise les clients de la banque postale.

Le mail d’hameçonnage se présente sous la forme d’une demande de confirmation du Certicode :

Capture d'ecran phishing banque postale

Le lien renvoi sur un site contrefait qui a pour but de subtiliser les identifiants du client de la banque postale :

Site contrefait banque postale

On notera que le texte du mail est en fait composé d images :

<HTML><HEAD><TITLE>Untitled-2</TITLE>
<META content=3D"text/html; charset=3Dutf-8" http-equiv=3DContent-Type=
></HEAD>
<BODY leftMargin=3D0 topMargin=3D0 bgColor=3D#ffffff marginheight=3D"0" marginwidth=3D"0"><!-- Save for Web Slices (Untitled-2) -->
<TABLE id=3DTable_01 border=3D0 cellSpacing=3D0 cellPadding=3D0 width=3D=
767 height=3D543>
<TBODY>
<TR>
<TD><IMG alt=3D"" src=3D"cid:015522113@22022012-2880" width=3D767 heig=
ht=3D333></TD></TR><TR><TD><A href=3D"http://letosolar.com/scrfflushs"><IMG border=3D0 alt=3D="" src=3D"cid:015522113@22022012-2887" width=3D767 height=3D31></A></T=D></TR><TR><TD><IMG alt=3D"" src=3D"cid:015522113@22022012-288E" width=3D767 height=3D179></TD></TR></TBODY></TABLE><!-- End Save for Web Slices --></BODY></HTML>

Le but de cette pratique est de donner un minimum d’information sémantique pour contourner les analyses sémantiques des scanners de filtrage anti-spam et anti-phishing.

[ALERTE PHISHING] Phishing Free “Cher client”

Une campagne de phishing est  actuellement en cours, elle vise les clients Free.

Le mail de phishing est trés simple, par de fioriture HTML, ni de domaine spoofé dans l’URL.

Voici une capture d’écran :Copie du mail de phishing free cher client

Voici le texte du mail de phishing :

Cet email a ete envoye par L equipe Free.fr pour vous informer que vous dev=
ez activez votre compte .

nous vous invitons a confirmer et mettre a jour votre compte =

aujourd'hui en cliquant sur le lien ci-dessous:

http://193.XX.XXX.X/free.php

Nous vous remercions de votre confiance.

Le site contrefait est quand à lui réalisé dans “les règles de l’art” :

Site free contrefait

Pour éviter les soucis liés au phishing, pensez à utiliser nos services de filtrage de messagerie.

DMARC : Un nouveau standard pour lutter contre le phishing

DMARC graphique logo

DMARC (Domain-based Message Authentication, Reporting and Conformance) est né de la collaboration de nombreux acteurs majeurs d’internet. Son but de de définir un nouveau standard pour lutter contre les mails de phishing.

Qui est derriere DMARC ?

Le consortium qui travaille depuis 18 mois sur cette nouvelle spécification est initialement  constitué des acteurs suivant :

  • Agari
  • American Greetings
  • AOL
  • Bank of America
  • Cloudmark
  • Comcast
  • Facebook
  • Fidelity Investments
  • Google
  • LinkedIn
  • Microsoft
  • PayPal
  • Return Path
  • The Trusted Domain Project
  • Yahoo!

En quoi consiste DMARC ?

DMARC est avant tout une spécification, permettant aux expéditeurs et aux destinataires de mail d’échanger des informations. L’authentification de l’expéditeur se base sur deux techniques déjà éprouvées : SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail).

Concernant l’expéditeur :

  • Il va signaler que son domaine utilise les systèmes d’authentification SPF et DKIM.
  • Il va spécifier une adresse e-mail de feedback qui va permettre de lui signifier des problèmes concernant les mails liés à son domaine (légitimes ou pas).
  • Il va définir la politique à appliquer si un mail reçu de son domaine échoue aux tests d’authentification SPF et/ou DKIM.
    Il y à trois actions possibles:

    1. Report : L’expediteur est prévenu du problème via son adresse de feedback.
    2. Quarantaine : Le mail est mis en quarantaine.
    3. Rejet : Le mail est rejeté.

Concernant le destinataire :

  • De part la déclaration faite par l’expéditeur, il va savoir de façon certaine si le domaine utilise des processus d’authentification  SPF et DKIM.
  • Il va pouvoir tester les mails reçu pour contrôler que les enregistrements et signatures SPF et DKIM sont valides.
  • Il va savoir quoi faire du mail (report, quarantaine ou rejet) si les tests SFP et DKIM échouent.
  • Il va savoir comment fournir un feedback à l’expéditeur en cas de problème avec des mails de son domaine.

DMARC annonce t’il la fin du phishing ?

Dans ce domaine comme ailleurs il n’y a pas de balle en argent.
Cette méthodologie ne va pas éliminer le phishing car un mail de phishing peut parfaitement répondre aux spécification de DMARC. Par exemple l’attaquant peut trés bien utiliser un nom de domaine qui va ressembler au domaine à attaquer (ma-banque.com pour mabanque.com par exemple) et le configurer pour qu’il suive les recommandations DMARC.

Ce n’est pas pour autant un coup d’épée dans l’eau, DMARC est un outils supplementaire qui va fournir des informations utiles pour la classification des e-mails, mais à lui seul il ne sera pas suffisant pour éradiquer le phishing.