Très fort ce spoofing…

Un grand classique du moment en matière de phishing est de recevoir des emails soit disant venant de paypal. J’en avais parlé sur mon blog et je l’ai vu sur beaucoup d’autres.

La fausseté de ces emails parait assez évidente. Aujourd’hui, j’ai reçu un mail, qui lui, pour le coup, semble bien moins évident:

Cliquez sur l’image pour l’agrandir et pouvoir lire le mail

Il faut savoir qu’il y a plusieurs mois j’étais en recherche de Job à Londres. Qu’est ce qui est troublant ?

  • De mémoire, le titre correspond exactement à l’intitulé de mes CV.
  • L’adresse mail de l’expéditeur n’est autre que…Monster (Site que j’ai utilisé pour mes recherches)
  • L’adresse du destinataire est mon adresse perso, pas de undisclosed-re
  • La première phrase explique que mon CV à été trouvé chez Monster
  • L’anglais ne m’a bien évidemment pas choqué comme je suis en UK en ce moment
  • Aucun liens bizarres comme sur le phishing de Paypal
  • Pas d’images folles vous indiquant que Bill Gates veut vous faire un don

Un mail plutôt anodin !

Ce qui m’a tout d’abord douter de cet email est bien entendu son contenu. Pour ceux qui ne l’on pas lu, grosso modo on vous propose de faire l’intermédiaire pour des transferts d’argent moyennant rémunération.

En fouillant un peu plus:

Tout d’abord, en déroulant un peu les infos du routage du mail on peut trouvé ça:

L’adresse complète semble bien venir de Monster. Même s’il y a le terme route, le nom de domaine est exactement celui de Monster.com.

Par contre, et ça vous l’avez surement vu, l’adresse enregistrée si vous souhaitez répondre est complétement différente: cv-cca.net

Un petit coup de Who is m’a donné:

Domain Name: cv-cca.net

Status: ok

Registrar: YESNIC CO. LTD.
Whois Server: whois.yesnic.com
Referral URL: http://www.yesnic.com

Expiration Date: 2009-03-01
Creation Date: 2008-03-01
Last Update Date: 2008-10-04

Name Servers:
ns1.cv-cca.net
ns2.cv-cca.net
ns3.cv-cca.net
ns4.cv-cca.net

+ des adresses enregistrées aux Etats-Unis.

Tout de même assez peu douteux !

Enfin, en faisant un copié / collé de tout l’email, je suis tombé sur le site bobbear.com qui décrypte cette fraude.

Du très fort à mon sens. Un mail simple, ne promettant pas monts et merveilles (même si £18 000 de revenus annuels supplémentaires restent très attractifs) et plutôt bien présenté.

Qu’en pensez vous ? D’autres exemples ?

Articles récents

6 Responses à l'article“Très fort ce spoofing…”

  1. www.fuzz.fr

    Très fort ce spoofing… | Willyblog…

    Une méthode de spoofing assez bien rodée…

  2. Yann

    il ne faut jamais se fier a l’adresse email d’un expediteur, c’est completement spoofable.
    je peux t’envoyer un email depuis n’importe quel expediteur en un rien de temps.
    La seul information que tu peux croire est le champ mailed-by.

  3. William

    Oui j’ai déja fait ca d’envoyer des mail en utilisant un nom de domaine tiers.
    Par contre je ne connaissai pas ce champ mailed-by.

    Ou apparait-il ?

  4. Yann

    tu peux le trouver dans l’entete gmail sur un email envoyé depuis gmail/hotmail…

  5. William

    Effectivement.

    Par contre, il n’apparait pas dans ce fameux mail !

    Merci de l’info en tout cas.

  6. Arrangeur

    toujurs intéressant tes billets 🙂 ‘vous pouvez suivre cette conversation avec le rss 2’ : ça m’a quelquep eu fait sourire 🙂 bonnne continuation !

Laisser un commentaire

Vous devez être enregistrés pour lasser un commentaire.