You are here: Foswiki>Sandbox Web>DiversTechnique>PhishingBizarre (15 Nov 2023, MarcSCHAEFER)Edit Attach

Tentative d'escroquerie bizarre

Introduction

D'habitude, le phishing est facilement reconnaissable: on vous demandera de taper des informations confidentielles qui permettront un abus (p.ex. login/mot de passe d'un compte mail, etc). Ou c'est un vol: on envoie de l'argent et on ne reçoit pas de prestation en retour (p.ex. location d'appartement multiple, "taxes" exigées pour un envoi, etc).

Mais je viens de tomber sur quelque chose de bizarre, voir ci-dessous

Acte I: une vente normale sur anibis.ch

J'ai un article à vendre plus ou moins anonymement (un appareil photo des années 50, sans grande valeur d'après l'historique Ebay; et sans garantie de fonctionnalité). Je propose 200 CHF, prix à discuter.

La seule réponse que je reçois après pas mal de temps provient d'une dame disposant d'une adresse outlook.be, mais qui dit habiter en Suisse et me demande le prix final avec envoi postal. Je lui donne le prix et mon numéro de compte postal (CCP).

Elle a donc maintenant en sa possession: mon nom, mon adresse e-mail et mon numéro de compte postal.

Acte II: que vient faire Paypal là-dedans?

Je reçois deux e-mails de Paypal qui me disent que je dois leur envoyer par e-mail le numéro de tracking Poste du paquet (donc envoyer la marchandise). et qu"ils" garantissent la sécurité en ne débloquant les fonds qu'après réception.

Problèmes:
  • pas reçu d'argent sur mon CCP ("normal" d'après le mail paypal, mais que viennent-ils faire là?)
  • le mail "vient" de paypalwhatever.eu (et pas paypal.com)
  • je n'ai pas de compte Paypal avec cette adresse e-mail
  • l'e-mail se termine en disant qu'il ne faut pas répondre au mail
  • l'HTML et le texte/plain diffèrent sur une des adresses e-mail (visible: outlook.be, en lien mailto: une adresse gmail)
  • l'adresse postale n'existe pas (erreur de prononciation, utilisation d'un autre nom pour NPA juste, personne n'existe pas à l'adresse)
  • les mails Paypal ont été envoyés d'une adresse IP en Afrique, via un Webmail en Allemagne.

Question: mais comment font-ils de l'argent ?
  • je suppose que la Poste va réexpédier le paquet vu que l'adresse est fausse (si l'adresse n'était pas fausse, mais que la personne n'existait pas, ils pourraient jouer avec un nom supplémentaire sur une boîte-aux-lettres, supprimé le plus vite possible après réception)
  • peuvent-ils faire quelque chose avec le numéro de tracking?
  • la valeur de la marchandise ne justifie pas toute cette arnaque! et il faudrait la revendre, ce qui n'est pas facile vu mes difficultés!
  • vont-ils me contacter pour me demander un "remboursement" ?

Mes actions

Informé
  • Microsoft
  • Google
  • le registrar du domaine eu.
  • le propriétaire de l'adresse IP africaine
  • Paypal
  • l'exploitant du Webmail allemand

Les éléments marrants

Extrait des lignes received, assez complètes et probablement correctes: 
Received: from smtp.app.magix-online.com (smtp.app.magix-online.com [193.254.184.137])
        by shakotay.alphanet.ch (Postfix) with ESMTP id A94801249292
        for <schaefer@alphanet.ch>; Mon, 10 Aug 2015 00:29:06 +0200 (CEST)
Received: from magix-webmail (webmail.app.magix-online.com [193.254.184.250])
        by smtp.app.magix-online.com (Postfix) with ESMTPSA id 309D952E804;
        Mon, 10 Aug 2015 00:10:06 +0200 (CEST)
Received: from 41.206.78.228 ([41.206.78.228]) by webmail.magix-online.com
        (Horde Framework) with HTTP; Mon, 10 Aug 2015 00:10:06 +0200
Date: Mon, 10 Aug 2015 00:10:06 +0200
Message-ID: <20150810001006.Horde.3cooqxqQRIMMGHNwo8n8bg1@webmail.magix-online.com>
From: paypal@paypalonline.eu
To: schaefer@alphanet.ch
Cc: schaefer@alphanet.ch
Subject: INFORMATION DU SERVICE BANCAIRE PAYPAL
References: <CADRVwDKZc6A8ksoAr5cxicMVhtoOJEaHyKPn8DHBL8kt---n9w@mail.gmail.com>
        <20150708120246.Horde.T49ijamNHKBNj8iJgyXqZQ3@webmail.magix-online.com>
        <20150809222930.Horde.udgzCQyOJXqiaXykPSejPQ3@webmail.magix-online.com>
In-Reply-To: <20150809222930.Horde.udgzCQyOJXqiaXykPSejPQ3@webmail.magix-online.com>

On voit donc ci-dessus que le mail provient de 41.206.78.228: 
schaefer@reliand:~$ whois 41.206.78.228
% This is the AfriNIC Whois server.

% Note: this output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '41.206.72.0 - 41.206.79.255'

% No abuse contact registered for 41.206.72.0 - 41.206.79.255

inetnum:        41.206.72.0 - 41.206.79.255
netname:        mtn-ci
descr:          Subnet in used  dedicated for WIMAX subsciber on phase 2
descr:          period of jan 2012 to Dec 12
country:        CI
admin-c:        ATD1-AFRINIC
tech-c:         EK18-AFRINIC
status:         ASSIGNED PA
remarks:        RAS
mnt-by:         MTN-CIV
source:         AFRINIC # Filtered
parent:         41.206.64.0 - 41.206.95.255

person:         Alain Theodore DIBY
address:        01 BP 3865 ABIDJAN 01 - COTE D'IVOIRE
phone:          +225 46462407
fax-no:         +225 20323107
nic-hdl:        ATD1-AFRINIC
source:         AFRINIC # Filtered

person:         Edmond Koffi
nic-hdl:        EK18-AFRINIC
address:        11 BP 116 ABIDJAN 01 - COTE D'IVOIRE
address:        ABIDJAN
address:        Cote D'ivoire
phone:          +225 21756000
phone:          +25504188908
fax-no:         +225 21756010
source:         AFRINIC # Filtered

et qu'un webmail allemand a été utilisé. De plus, l'adresse e-mail "paypal": 
% WHOIS paypalonline.eu
Domain: paypalonline.eu

Registrant:
        NOT DISCLOSED!
        Visit www.eurid.eu for webbased whois.

Technical:
        Name: Hostmaster Vautron Rechenzentrum AG
        Organisation: Vautron Rechenzentrum AG
        Language: de
        Phone: +49.9415990304
        Fax: +49.94159909307
        Email: hostmaster@vautron.de

Registrar:
        Name: Vautron Rechenzentrum AG
        Website: www.vautron.de

Name servers:
        ns1.ns-serve.net
        ns2.ns-serve.net

Enfin, le contenu des mails donne quelques infos en plus: probablement que le mail a été forwardé et édité (on le voit dans les Références: ci-dessus, notamment): 
<a href="mailto:mottaz.antoinnette@gmail.com" target="_blank">magalieruth@outlook.be</a>

Problèmes pour aller plus loin
  • où habite vraiment l'expéditrice des mails initiaux ? malheureusement outlook.com cache ces lignes, car il utilise probablement un protocole propriétaire, on ne voit que l'envoi SMTP proprement dit, pas le dialogue avec le client sur le mail non paypal)

A bon entendeur

L'émission d'ABE du 15 mars m'a fait comprendre ce qui se serait passé si j'avais envoyé le paquet: on m'aurait demandé de l'argent ... pour recevoir de l'argent, et au bout de quelques jours le paquet serait revenu.

voir http://www.rts.ch/video/emissions/abe/7574531-attention-arnaque-aux-faux-paypal.html

-- MarcSCHAEFER - 10 Aug 2015
Edit  | Attach | Print version | History: r3 < r2 < r1 | Backlinks | View wiki text | Edit wiki text | More topic actions
Topic revision: r3 - 15 Nov 2023, MarcSCHAEFER
This site is powered by FoswikiCopyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding Foswiki? Send feedback