Monday 9 December 2013

On me prend pour une truffe?

1) Correspondence de Hans-Georg Lundahl : Lettre aux Députés de Gard, 2) New blog on the kid : On me prend pour une truffe?, 3) Parlementaires et liberté d'expression

Dans la boîte de réception je trouve trois mails en deux jours, "mise à jour Voila".

Aujourd'hui j'en ouvre un.

L'envoyeur à un nom entre guillement "voila mail" mais une adresse qui ne ressemble nullement à une adresse de l'administration de voila. Ça ne finit pas sur "@voila.fr" avec un début comme "administrateur" ou "service.clients" ou quelque chose pareil. Une adresse que voila.fr pourrait très facilement bloquer avec une fermeture de compte en cas de fraudulence. Ah non, c'est une adresse sur "@videotron.ca". En occurrence:

"Voila Mail" <sauvageau.josee@videotron.ca>


Ensuite le contenu.

Cliquer sur: http://zip.net/bjlKPh et rentrer vos identifiants pour la mise à jour.


Je ne le fais pas. Les abrégeurs d'url sont très utiles, je les utilise par exemple pour abréger les adresses que je lis ou encore des adresses concrètement de mes blogs d'un message ou d'une page en particulier, qui sont trop longs pour mémoriser. Les urls abrégés ne le sont pas. Et ils marchent dans la barre d'adresse ou comme liens clicables.

http://zip.net/bjlKPh - je ne le rend pas clicable - est un url abrégé. Mais il m'est parvenu dans un mail déjà suspect.

Je ne le clique pas. Je le copie et ferme le service mail, pour qu'un virus ne gâche pas mon compte. Ensuite je vois un avertissement. D'autres ont déjà alerté voila.fr (le vrai service) et il s'y trouve un message "voila.fr ne vous demandera jamais donnés personnels par un mail". Fort bien, mais je savais quand à moi-même déjà avec une certaineté morale quoique non mathématique que le mail était fraudulent. Mais je voulais savoir exactement de quel fraud il s'agit.

Je vais donc sur une page très utile (j'y donne le lien) pour ceux qui se voient confrontés avec un url abrégé suspect.

http://longurl.org

Je mets http://zip.net/bjlKPh dans leur "barre d'expansion" - l'unique type de barre de récherche où un url abrégé donne le url qui a été abrégé plutôt que le service qui abrège les urls.

Je trouve cet url ci:

http://configuration-idamin.pixub.com/


Je me dis que, même si c'est un virus, j'ai déjà fermé mon compte voila.fr et ce compte ne sera donc pas nui. Je le clique donc. Voici ce que je trouve:

[logo "voila"]

Espace Sécurisé Voila.fr

Pour des raisons de sécurité, nous vous prions de vous identifier à nouveau.

[nom d'utilisateur]
[mot de passe]


"Pour des raisons de sécurité," non, c'est pour hameçonner votre nom d'utilisateur et mot de passe que "nous vous prions de vous identifier à nouveau."

Qui se cache donc réellement derrière ce "nous"? Pas le service de voila.fr, d'abord.

Les adresses IP pourraient aider ....

10.223.111.60

inetnum:10.0.0.0 - 10.255.255.255
netname:IANA-ABLK-RESERVED1
descr:Class A address space for private internets
descr:For details see:
descr:http://www.ripe.net/data-tools/db/ipv4-blocks-for-private-internets
country:EU #Country is really world wide
org:ORG-IANA1-RIPE
admin-cRFC1918-RIPE
tech-c:RFC1918-RIPE
status:ALLOCATED UNSPECIFIED
remarks:Country is really worldwide
remarks:This network should never be routed outside an enterprise
remarks:See RFC1918 for further information
mnt-by:RIPE-NCC-HM-MNT
mnt-lower:RIPE-NCC-HM-MNT
remarks:MNTNER added for RIPE NCC DB Group testing 20121001
remarks:More specific objects will be created and deleted
remarks:during this testing over the next few days
mnt-lower:aardvark-mnt
source:RIPE #Filtered
 
plus en bas
 
role:RFC1918 Role
address:Singel 258
address:1016 AB Amsterdam
address:The Netherlands
remarks:trouble: See http://www.ripe.net/db/rfc1918.html
admin-c:RFC1918-RIPE
tech-c:RFC1918-RIPE
nic-hdl:RFC1918-RIPE
mnt-by:RFC1918-MNT
source:RIPE #Filtered


"Voila Mail" <medroletsavoie@videotron.ca>

le même 10.223.111.60 !

"Voila Mail" <poudrierreal@videotron.ca>

encore le même 10.223.111.60 !

Ça c'était "Received: from mwinf5c10 (mwinf5c10 [10.223.111.60])"

Maintenant à "Received: from relais.videotron.ca ([...])"

remarks:Networks in this range are not in use in
remarks:the RIPE NCC service region.
remarks:
remarks:You can find the whois server to query, or the
remarks:IANA registry to query on this web page:
remarks:http://www.iana.org/assignments/ipv4-address-space
remarks:
remarkss:You can access databases of other RIR's at:
remarks:
remarks:AFRINIC (Africa)
remarks:http://www.afrinic.net/ whois.afrinic.net
remarks:
remarks:APNIC (Asia Pacific)
remarks:http://www.apnic.net/ whois.apnic.net
remarks:
remarks:ARIN (Northern America)
remarks:http://www.arin.net/ whois.arin.net
remarks:
remarks:LACNIC (Latin America and the Carribean)
remarks:http://www.lacnic.net/ whois.lacnic.net


Aussi identique pour les trois mails! Mais ça semble être un IP de videotron.ca quand je cherche ARIN:

Name
Videotron Ltee
Handle
C00090021
Street
300 Viger Est
City
Montreal
State/Province
QC
Postal Code
H2X-3W4
Country
CA
Registration Date
2000-06-03
Last Updated
2011-03-19


Donc, c'est le premier IP, celui avec une certaine adresse à Amsterdam qui est en cause comme provenance de cette fraude. IP 10.223.111.60 donc.

Hans-Georg Lundahl
Bpi, Georges Pompidou
St Pierre Fourier
9-XII-2013

1 comment:

  1. Aujurd'hui ça recommence, mais l'adresse IP est mainenant 10.223.111.78

    et l'adresse mail est: debroise.alexan@wibox.fr

    ReplyDelete