Ce matin, j’ai reçu un joli mail de phishing (ou hameçonnage en bon français) : je crois bien que c’est la première fois que je reçois ce genre de mail, en tout cas en se servant de free mobile pour le faire.

J’y apprend que ma banque a refusé le prélèvement de Free mobile, et que je dois mettre à jour mes informations dès aujourd’hui (ce serait dommage de me couper ma ligne !), en cliquant sur un lien gentiment fourni, et dont l’adresse a bien l’air de pointer chez free (subscribe.free.fr) :

Voilà donc ce que j’ai fait :

Bon, c’est quand même assez facile de voir que c’est du bidon :

• Déjà une première faute dans le titre «Votre prélèvement en ligne n’a pas accepter»: ça ne fait pas très pro de la part de free… par contre, ça sent bien le type qui ne maîtrise pas la langue de Molière !
• L’adresse de l’émetteur laisse aussi à désirer : myhosting.com, un service de VPS (Virtual Private Server) …

Le lien par contre semble valide (subscribe.free.fr), mais je dis bien semble, car l’ensemble du texte n’est en fait qu’une image, avec un lien associé, que l’on peut voir dans la barre de status de Thunderbird : donc un mail au format HTML, avec une image et un hyperlien.

Un petit Ctrl-U pour éditer le message nous le confirme :

On va chercher l’image affichée dans le mail chez www.openmerchantaccount.com, et un click sur le mail nous enverra chez icops.info.

Les actions

• openmarchantaccount semble hébergé chez 1and1, un fournisseur internet allemand. J’ai fait un traceroute pour le savoir, whois ne donnant pas d’informations. Puis je leur ai fait suivre le mail sur leur « Registrar Abuse Contact Email » : abuse@1and1.com (obtenue avec un simple whois oneandone.net). On verra si j’ai une réponse !
• J’ai aussi fait un click droit sur le message, et signalé le courrier comme frauduleux : cela par chez Google et son programme Google Safe Browsing.

• Je fais cet article sur le blog, cela aidera peut-être.
• Enfin, j’efface ce courrier ! 8)