Réceptions mails assez étranges...

[Thyrion]

Bonsoir tout le monde !

Voilà j'ai reçu pour la troisième fois un mail venant d'un Forum auquel je ne suis pas inscrit et qui me dit que j'ai changé de mot de passe, après deux autres mails assez étranges :

Madame, Monsieur,

Bienvenue chez OVH.

Vous avez bien créé le bon de commande XXXXXXX dont la redevance est de 135.87 EUR et nous vous en remercions.

Pour accéder à votre espace client, le manager, munissez vous de votre identifiant (parfois aussi appelé nichandle)
et de votre mot de passe:

[http://]almaida-furl.com/www.ovh.com/cgi-bin/fr/order/renew.cgidomainChooser=ksXXXXX.kimsufi.com/index.htm

Un ensemble de guides est à votre disposition pour vous expliquer pas à pas comment administrer vos services:
[http://]guides.ovh.com

Faites attention à ne pas perdre votre identifiant client ainsi que le mot de passe que vous lui avez associé .
Si cela vous arrive, rendez vous sur:

[http://]www.ovh.com/managerv3

Nous vous remercions pour la confiance que vous accordez à OVH et restons à votre disposition.

Cordialement,

Le Service Client
[http://]www.ovh.com/fr/espaceclients/support
Tél : XX XX XX XX XX
du lundi au vendredi de 9h à 20h
et le samedi de 10h à 16h
(1,349 Euros/ TTC par appel puis 0,337 Euros/TTC la minute
partout en France métropolitaine).

Bonjour,
j'ai réinitialisé votre mot de passe pour le compte Thyrion.
Ce mot de passe est désormais : "XXXXXXXXX".
Vous pourrez le changer une fois connecté, en allant sur votre page de
profil.
Cordialement,
Nathan

--
Nathan Chosson
Product Manager, Communities - BESTOFMEDIA Group

Bonjour,

Voici vos nouveaux identifiants :
Nom d'utilisateur : thyrion
Mot de passe : XXXXXX

L'équipe Tom's Guide

------------------
Ce mail est généré automatiquement, les réponses ne sont pas lues. Pour nous contacter veuillez utiliser le formulaire de contact sur le site.

D'une part, je souhaite vous dire que je n'ai jamais acheté quoique ce soit sur Internet, donc la commande est fausse.
Puis jamais je n'écrirais de nom d'utilisateur sans la première majuscule.

Je souhaite savoir ce que vous en pensez, blagues, pièges ou erreurs ?

Je n'ai jamais ouvert les liens présentés et ai jamais répondu à leurs messages.

[Ask to Old Man]

Bonjour,

Chez moi, ce genre de truc se gère de la façon suivante:
_ Dans ma boite à mail, je vois un message venant d'un "truc" que je n'ai pas contacté, sollicité,
je ne l'ouvres même pas, il part selon mon humeur soit poubelle direct, soit la boite à "Spam".

Méthode brutale sûrement, mais c'est moi qui décide de ce que je veux recevoir.

Souviens-toi que tu n'es jamais à l'abri lors de l'ouverture d'un mail d'un expéditeur inconnu.

A bon entendeur...

[H3bus]

Même avis que AtOM, t'as rien demandé, tu ne devrais rien recevoir ! Tu passes en Spam, pour que ta boite mail fasse suivre les suivants de la même manière ! Si tu es sur de n'avoir rien acheté, ou que personne n'ait rien acheté avec un de tes comptes, j'ai envie de dire : poubelle !

[r@in | b0w]

Bonjour.

Je rajoute à tout ceci que tu évites de faire circuler ton adresse mail partout et que, lors de la réception d'une superbe chaîne avec ton mail, tu balances un lien HoaxBuster et une réponse cinglante pour faire cesser ces envois vers ta boîte.

Tu ne perdras peut-être pas d'amis mais tu feras comprendre quelque chose.

Moi, je l'ai fait et... je n'ai plus d'e-mails reçus

[H3bus]

Très bonne solution r@in|b0w, j'ai pratiqué aussi... en général attaquer les gens sur leur crédulité ne leur fait pas plaisir, mais au moins tu ne recevra plus de mail...

Sinon, tu mets l'adresse directement en liste noire...

[webmaster]

J'avoue que le premier mail est interessant dans le sens où OVH est un hébergeur de site français plus que respectable. Si vous regarder de plus pres cette url...

[http://]almaida-furl.com/www.ovh.com/cgi-bin/fr/order/renew.cgidomainChooser=ksXXXXX.kimsufi.com/index.htm

... vous voyez que le lien renvoie sur une offre OVH baptisée kimsufi avec un domaine acheté pour cette offre par ovh -> kimsufi.com.

Là où c'est interessant, c'est le début de l'url qui ne renvoie pas du tout sur ovh et cela ressemble fortement à du pishing. En effet, l'url commence par almaida-furl.com...

En regardant, ce nom de domaine avec whois ( http://www.whois.net/whois_new.cgi?d=al ... rl&tld=com ), on constate que ce domaine a été acheté en allemagne par une française (elle est surement au courant de rien car le pirate a du usurper cette identité pour créé le nom de domaine, enfin j'espère sinon un certains nombre de personnes vont lui tomber dessus rapido.

Enfin un petit conseil...

Lorsque vous avez un doute sur un mail ayez le reflexe de regarder les url ou même le code source du mail. Dans celui-ci on voit souvent le vrais expéditeur du mail et non pas celui qu'on a voulu vous faire gober.

Si vous le souhaitez, au prochain mail que je reçois du genre, je vous montre comment analyser ça...

Pour le reste cela ressemble plus à du SPAM destiné à desservir les sites visés afin qu'ils soient peu crédibles à vos yeux et que vous n'y mettiez jamais les pieds. Dommage pour tom's hardware et best of micro (les deux du même éditeur) qui semblent visés dans les mails reçus par thyrion. J'imagine qu'ils sont déjà au courant car en général, ce genre de mails froduleux sont envoyés en masse.

[psychocat]

salut

moi je veu bien un futur exemple , ca peu etre pratique et servir , merci

[H3bus]

Oui, j'avoue que cela pourrait se montrer très intéressant...

[r@in | b0w]

Re.

Pour les recherches sur HoaxBuster, je fais en sorte dans ma réponse aux chaines de faire prendre connaissance des risques de ces chaines tout en démontrant que l'ignorance des personnes sert à d'autres moins avisées qui en tirent profit.

Une question de responsabilité et d'orgueil aussi, d'arrêter d'être pris pour un imbécile.

Cela a marché chez mes parents, moins chez ma belle-mère (qui m'envoie toutes les chaînes pour que je vérifie à sa place)!

Si vous le souhaitez, au prochain mail que je reçois du genre, je vous montre comment analyser ça...

Moi aussi, je suis intéressé.

Même si je ne reçois pas de courriel, cela me servira peut-être un jour

[Ask to Old Man]

@ Boss,

Je ne conteste pas ta description sur le cas OVH. Mais je reste sur ma position:
Si je n'ai rien demandé à OVH au préalable, je n'ai pas à trouver de la littérature
le concernant ( vrai ou faux) dans ma boite mail. & là dessus, je suis têtu.

[webmaster]

Je ne conteste pas ta description sur le cas OVH. Mais je reste sur ma position:
Si je n'ai rien demandé à OVH au préalable, je n'ai pas à trouver de la littérature
le concernant ( vrai ou faux) dans ma boite mail. & là dessus, je suis têtu.

Oui indégnablement. Mais voici ma question. Si tu avais effectivement loué un serveur dédié kimsufi chez OVH, qu'aurais tu fais avec ce mail très bien rédigé ? Car ici visiblement nous n'avons pas les fautes flagrantes que l'on peut observer sur tous les mails "mal traduits" envoyés par des bots.

Ce que je souhaite démontrer ici dès que j'en aurai les moyens, c'est qu'on peut voir avec le code source d'un mail si l'emetteur est bien celui qu'il prétend être et non pas quelqun d'autre. Demain, tu peux tout à fait recevoir un mail qui d'après le champs expéditeur viendra de ce forum et pourtant il n'en sera rien. Comment fera tu pour identifier le mail piègé ? Et je t'assure, il ne faut pas très longtemps pour faire ce genre de chose lorsqu'on s'y connait un peu... En fait un serveur comme celui qui héberge ce site suffit largement...

[Ask to Old Man]

Indiscutable!!

[Thyrion]

Wow et ben ! Je ne pensais pas avoir autant de réponses.

Bon, je le savais que c'était du faux, mais venant de Tom's Guide, je trouvais ça assez louche.
Les prochaines, je préfèrerais les ouvrir car je découvre les possibilités d'un bot en action, et si vous voulez, je pourrais poster ici des exemples que j'aurais trouvé assez surprenant.

Et je suis tout à fait intéressé par votre exemple WebMaster.

[Skynet]

Ca me rappelle une question similaire :

http://www.pc-infopratique.com/forum-in ... tml#212514

[webmaster]

je viens de recevoir un mail de ce type. A prioris, il s'agit d'un spam pour des logiciels contrefaits... J'ai remplacé le symbole @ de mon adresse qui figure dedans à pusieurs reprise par -at- pour éviter d'être spammé encore plus...

Voici le code source du mail:

+OK 1426 octets follow.
Return-Path: <RichardBartlett-at-go.com>
X-Original-To: webmaster-at-pc-infopratique.com
Delivered-To: webmaster-at-pc-infopratique.com
Received: from host4.nrgnet2.ondsl.gr (host4.nrgnet2.ondsl.gr [87.202.206.68])
by (Postfix) with SMTP id A6A0983841
for <webmaster-at-pc-infopratique.com>; Wed, 10 Sep 2008 14:11:09 +0200 (CEST)
Date: Wed, 10 Sep 2008 08:11:09 -0500
From: "Original France logiciels.com" <GarryEasley-at-yyhmail.com>
Message-ID: <10195.@>
To: webmaster-at-pc-infopratique.com
Subject: RE: Toutes Populaires Logiciels francais versions pour PC et MAC
MIME-Version: 1.0
Content-Type: text/html; charset=iso-8859-1
Content-Transfer-Encoding: 7bit

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<HTML>
<HEAD>
<META http-equiv=Content-Type content="text/html; charset=iso-8859-1">
</HEAD>

<body>
<font face="Verdana">Les meilleurs logiciels ...

Dans ma boite de réception, je vois donc un mail avec:

expéditeur:Original France logiciels.com
adresse de l'expéditeur:GarryEasleyat-at-yyhmail.com

Analyse:

Déjà première chose, le nom de domaine du mail de l'expéditeur (yyhmail.com) ne correspond pas au nom de domaine du soit disant site de vente en ligne (Original France logiciels.com). Cela arrive souvent avec les newsletter des gros sites qui ne sont pas envoyées avec le même nom de domaine donc n'est pas focément grave.

C'est tout de même une première alerte d'autant que le nom de domaine contient des espaces ce qui est strictement impossible dans la résolution des dns donc ce nom de domaine (Original France logiciels.com) n'existe pas.

Mieux encore et là ça ne souffre plus d'aucune ambïguité ! l'adresse mail de l'expéditeur serait donc GarryEasleyat-at-yyhmail.com pourtant si l'on regarde le Retunr-Path: tout au debut du mail, l'adresse mail de notre expéditeur est : RichardBartlett-at-go.com. étrange non ?

Ce mail a été envoyé par un serveur qui s'appèle host4.nrgnet2.ondsl.gr qui est encore différent des deux noms de domaines que nous avons et celui ci correspond bien à l'adresse ip que l'on trouve dans le mail si l'on fait un traceroute:

http://network-tools.com/default.asp?prog=trace&host=87.202.206.68

en entrant l'adresse ip on remonte bien jusqu'à host4.nrgnet2.ondsl.gr et vis versa, il s'agit de la seule information vrais de ce mail... Tout le reste, toutes les adresses mails et autre, c'est du vent ...

Mise en garde:
Je vous invite toutefois à être vigilent quant à vos interpretations. Prenons l'exemple d'un mail réel émanant de ce forum dans lequel une seul ligne peut vous surprendre... Il y a des PC-InfoPratique.com à peu près partout sauf une ligne qui va vous interpeler

Received: by sdxxxx.sivit.org

Le mail à été reçu par un serveur qui n'a pas le même nom de domaine que le site... Pourquoi ? tout simplement parce que le serveur sur lequel est hébergé ce site et ce forum peut héberger plusieurs site internet. Pour pouvoir réaliser cette tâche, le serveur à son propre nom de domaine sdxxxx.sivit.org

Cependant, ce nom de domaine (sivit.org) correpond à celui de notre hébergeur et pour le vérifier, c'est bien simple il suffit encore de faire un traceroute:

http://network-tools.com/default.asp?pr ... atique.com

Et de regarder la dernière ligne qui nous confirme que le site pc-infopratique.com est bien hébergé sur sdxxxx.sivit.org. Il est donc normal d'avoir eu un Received: by sdxxxx.sivit.org dans le code source du mail puisque le mail a été envoyé par le forum vers le serveur avant de vous être envoyé. Ce n'est donc pas su spam ! Vous aurez peut être aussi quelques autres différences liés à votre provider. Si vous êtes chez orange par exemple, forcément des éléments qui contiennent wanadoo ou orange figureront dans le code source... Vous comprendrez vite je pense...

je sais pas si j'ai été clair mais vous le verrez vite, il y a des tas de moyens de voir si un mail est clean ou pas en regardant tout ce qui se trouve avant le texte du mail dans le code source de celui-ci.

Attention, tous les clients mails ne permettent pas forcément de voir le code source. De mon côté j'utilise le notifieur pop-peeper qui permet d'être averti lorsqu'on reçoit un mail, de voir le code source du mail sans afficher le contenu html (en mode texte brute ou rich text) et donc sans executer le code qui installe un virus (si il y en a un en pièce jointe) puisque celui-ci ne peut être executé que par le code html du mail...