Hameçonnage OVH

Le 31 janvier 2019, à 9h52 j’ai reçu un email d’OVH, support@ovh.com, pour un renouvellement de nom de domaine. C’est bien dans des cas réels qu’il est intéressant de vérifier l’utilité et l’efficacité d’un logiciel de sécurité comme WS-Shield.

 

L’émail

Les évidences ne le sont que pour les gens avertis

En un clin d’œil et un instant de réflexion, il est possible de déterminer que ce mail est frauduleux. 

L'expéditeur

Je ne me fie pas à l’expéditeur affiché dans l’émail, il s’agit d’une information sans plus. C’est dans l’en-tête de l’émail que le véritable expéditeur est indiqué. Ici, mon expéditeur est en vérité Japonais, je le montre plus bas. Mais, accéder à l’en-tête de l’émail, le lire et l’investiguer, c’est une démarche que nous ne prenons pas forcement le temps de faire et que nos logiciels de messagerie ne font pas pour nous.

Le destinataire

L’adresse à laquelle je reçois ce message n’est pas l’adresse de mon compte client chez OVH. Celle-ci est mon adresse publique, mon adresse pourriel. C’est un indice, mais, j’aurais pu ne pas y prêter attention, ou bien ne pas avoir d’adresse émail spécifique pour mes comptes fournisseurs.

Le lien

En passant la souris sur le lien que je dois cliquer pour régulariser ma situation, j’obtiens une information capitale: le nom de domaine du serveur qui va recevoir ma requête. Je sais que si OVH m’envoie un lien, il sera forcement en https://www.ovh.com et pas autre chose. Je note un élément important, le lien est sécurisé, il est en https, alors que dans la majorité des cas, les liens frauduleux ne sont pas sécurisés, c’est-à-dire qu’ils commencent par http://. Le cybercriminel a peaufiné son attaque.

L’en-tête de l’émail

Return-Path

L’étiquette Return-Path me donne une adresse émail dont le nom de domaine appartient à la Mutuelle Générale de l’Education Nationale. Une recherche WHOIS, simple à faire à partir de WS-Shield me donne cette information. Point d’OVH ici.

WS-Shield WHOIS

Received: from

L’étiquette Received me donne le véritable expéditeur (s’entend, le serveur à l’origine de l’émission). J’ai un nom de domaine en cnode.io et une adresse IP qui est localisée au Japon. OVH a des serveurs à Singapour, mais les émails que je reçois de la part de cet hébergeur proviennent de Roubaix ou plus récemment du Canada.

Sensibilisation et vigilance

WS-Shield sert-il à quelque chose?

Je suis DevOps et hacker éthique, je suis l’auteur de WS-Shield, c’est l’occasion de voir si mon programme est efficace et protégera le moment venu une personne qui manquera un instant de vigilance et se laissera tromper par le cybercriminel. Je clique sur le lien ACCEDER A VOTRE ESPACE PERSONNEL

La page de destination

WS-Shield

Que fait la police?

La page qui s’affiche a un nom de domaine qui n’a rien à voir avec OVH. Cependant, elle s’est affichée. Sans méfiance, il m’est donc possible de renseigner mon numéro de carte et les autres informations demandées puis de cliquer sur Valider. J’en ai pour 3,02 euros, ce n’est pas ce montant qui va enrichir le cybercriminel, mais les opérations qu’il pourra faire avec mes coordonnées de carte bancaire qu’il va récupérer. Ce qui va me sauver lorsque je vais cliquer sur Valider, c’est que l’URL du bouton est sur le même domaine que le présent formulaire. 

WS-Shield a bloqué l’adresse IP

Investigation

La réponse se trouve dans le log du contrôle de flux

WS-Shield analyse les adresses IP distantes de toutes les connexions entrantes et sortantes. Je retrouve dans le log l’IP du nom de domaine du lien que j’ai cliqué. Je retrouve aussi l’IP du nom de domaine du site sur lequel j’aboutis. Le 1er domaine se trouve chez Unifiedlayer, un grand hébergeur nord-américain que j’ai autorisé dans mes règles Homeland Access Shield. Le 2ème lien appartient à une entreprise informatique de moindre envergure qui se situe aussi aux USA. 

Le rapport du contrôle de flux réseau

Homeland Access Shield

Les évidences ne le sont que pour les gens avertis

Ce qui m’a sauvé de la noyade, c’est d’avoir pu dire, avec WS-Shield, que j’autorisai mon ordinateur à communiquer avec les monstres du web, mais que je n’autorisai pas pour autant mon ordinateur à communiquer avec tous les USA. La campagne d’hameçonnage est récente, les IP impliquées ne sont pas référencées dans les listes noires ni auprès des hébergeurs.

L'expéditeur

Il est au Japon, c’est l’après-midi chez lui quand il démarre sa campagne d’hameçonnage. Il a 4 à 6 heures pour récupérer des coordonnées bancaires.

Le destinataire

Il est Français, c’est le matin quand il reçoit son émail. Il en est peut-être à son 3ème café avec toute sa journée de labeur devant lui.

Le site frauduleux

Il est aux Etats-Unis, c’est la nuit. Les humains qui décideront de bloquer une IP compromise appartenant à leur réseau dorment.