Dans la boîte de réception je trouve trois mails en deux jours, "mise à jour Voila".
Aujourd'hui j'en ouvre un.
L'envoyeur à un nom entre guillement "voila mail" mais une adresse qui ne ressemble nullement à une adresse de l'administration de voila. Ça ne finit pas sur "@voila.fr" avec un début comme "administrateur" ou "service.clients" ou quelque chose pareil. Une adresse que voila.fr pourrait très facilement bloquer avec une fermeture de compte en cas de fraudulence. Ah non, c'est une adresse sur "@videotron.ca". En occurrence:
"Voila Mail" <sauvageau.josee@videotron.ca>
Ensuite le contenu.
Cliquer sur: http://zip.net/bjlKPh et rentrer vos identifiants pour la mise à jour.
Je ne le fais pas. Les abrégeurs d'url sont très utiles, je les utilise par exemple pour abréger les adresses que je lis ou encore des adresses concrètement de mes blogs d'un message ou d'une page en particulier, qui sont trop longs pour mémoriser. Les urls abrégés ne le sont pas. Et ils marchent dans la barre d'adresse ou comme liens clicables.
http://zip.net/bjlKPh - je ne le rend pas clicable - est un url abrégé. Mais il m'est parvenu dans un mail déjà suspect.
Je ne le clique pas. Je le copie et ferme le service mail, pour qu'un virus ne gâche pas mon compte. Ensuite je vois un avertissement. D'autres ont déjà alerté voila.fr (le vrai service) et il s'y trouve un message "voila.fr ne vous demandera jamais donnés personnels par un mail". Fort bien, mais je savais quand à moi-même déjà avec une certaineté morale quoique non mathématique que le mail était fraudulent. Mais je voulais savoir exactement de quel fraud il s'agit.
Je vais donc sur une page très utile (j'y donne le lien) pour ceux qui se voient confrontés avec un url abrégé suspect.
http://longurl.org
Je mets http://zip.net/bjlKPh dans leur "barre d'expansion" - l'unique type de barre de récherche où un url abrégé donne le url qui a été abrégé plutôt que le service qui abrège les urls.
Je trouve cet url ci:
http://configuration-idamin.pixub.com/
Je me dis que, même si c'est un virus, j'ai déjà fermé mon compte voila.fr et ce compte ne sera donc pas nui. Je le clique donc. Voici ce que je trouve:
[logo "voila"]
Espace Sécurisé Voila.fr
Pour des raisons de sécurité, nous vous prions de vous identifier à nouveau.
[nom d'utilisateur]
[mot de passe]
"Pour des raisons de sécurité," non, c'est pour hameçonner votre nom d'utilisateur et mot de passe que "nous vous prions de vous identifier à nouveau."
Qui se cache donc réellement derrière ce "nous"? Pas le service de voila.fr, d'abord.
Les adresses IP pourraient aider ....
10.223.111.60
inetnum: | 10.0.0.0 - 10.255.255.255 |
netname: | IANA-ABLK-RESERVED1 |
descr: | Class A address space for private internets |
descr: | For details see: |
descr: | http://www.ripe.net/data-tools/db/ipv4-blocks-for-private-internets |
country: | EU #Country is really world wide |
org: | ORG-IANA1-RIPE |
admin-c | RFC1918-RIPE |
tech-c: | RFC1918-RIPE |
status: | ALLOCATED UNSPECIFIED |
remarks: | Country is really worldwide |
remarks: | This network should never be routed outside an enterprise |
remarks: | See RFC1918 for further information |
mnt-by: | RIPE-NCC-HM-MNT |
mnt-lower: | RIPE-NCC-HM-MNT |
remarks: | MNTNER added for RIPE NCC DB Group testing 20121001 |
remarks: | More specific objects will be created and deleted |
remarks: | during this testing over the next few days |
mnt-lower: | aardvark-mnt |
source: | RIPE #Filtered |
plus en bas | |
---|---|
role: | RFC1918 Role |
address: | Singel 258 |
address: | 1016 AB Amsterdam |
address: | The Netherlands |
remarks: | trouble: See http://www.ripe.net/db/rfc1918.html |
admin-c: | RFC1918-RIPE |
tech-c: | RFC1918-RIPE |
nic-hdl: | RFC1918-RIPE |
mnt-by: | RFC1918-MNT |
source: | RIPE #Filtered |
"Voila Mail" <medroletsavoie@videotron.ca>
le même 10.223.111.60 !
"Voila Mail" <poudrierreal@videotron.ca>
encore le même 10.223.111.60 !
Ça c'était "Received: from mwinf5c10 (mwinf5c10 [10.223.111.60])"
Maintenant à "Received: from relais.videotron.ca ([...])"
remarks: | Networks in this range are not in use in |
remarks: | the RIPE NCC service region. |
remarks: | |
remarks: | You can find the whois server to query, or the |
remarks: | IANA registry to query on this web page: |
remarks: | http://www.iana.org/assignments/ipv4-address-space |
remarks: | |
remarkss: | You can access databases of other RIR's at: |
remarks: | |
remarks: | AFRINIC (Africa) |
remarks: | http://www.afrinic.net/ whois.afrinic.net |
remarks: | |
remarks: | APNIC (Asia Pacific) |
remarks: | http://www.apnic.net/ whois.apnic.net |
remarks: | |
remarks: | ARIN (Northern America) |
remarks: | http://www.arin.net/ whois.arin.net |
remarks: | |
remarks: | LACNIC (Latin America and the Carribean) |
remarks: | http://www.lacnic.net/ whois.lacnic.net |
Aussi identique pour les trois mails! Mais ça semble être un IP de videotron.ca quand je cherche ARIN:
- Name
- Videotron Ltee
- Handle
- C00090021
- Street
- 300 Viger Est
- City
- Montreal
- State/Province
- QC
- Postal Code
- H2X-3W4
- Country
- CA
- Registration Date
- 2000-06-03
- Last Updated
- 2011-03-19
Donc, c'est le premier IP, celui avec une certaine adresse à Amsterdam qui est en cause comme provenance de cette fraude. IP 10.223.111.60 donc.
Hans-Georg Lundahl
Bpi, Georges Pompidou
St Pierre Fourier
9-XII-2013
Aujurd'hui ça recommence, mais l'adresse IP est mainenant 10.223.111.78
ReplyDeleteet l'adresse mail est: debroise.alexan@wibox.fr