Phishing Cdiscount

Ce n’est pas un secret: se retrouver abonné chez Cdiscount est le synonyme de galère pour se désabonner avant finalement être contraint de changer d’adresse mail en désespoir de cause. Mais les mails reçues hier ressemblent plus à une usurpation, à du phishing.

Cette fois il y a une particularité, l’escroquerie se compose de 2 mails envoyés avec un décalage de quelques heures.

Le premier mail m’informe que suite à mon dernier achat (que je n’ai jamais fait) Cdiscount m’offre 25€ ! Et demande une confirmation avec le lien pointant vers l’adresse (aujourd’hui inactif) http://smarts.rs/images/banners/4.php

Quelques heures plus tard, un second mail (avec le logo ce coup-ci) en remet une couche et demande de valider les coordonnées bancaire avec lien (opérationnel)

Si on regarde les entêtes de ces mails on a la confirmation qu’il viennent bien tous 2 du même expéditeur chez  webhost.linknet.com.au.

 

Le second lien ouvre une page qui ressemble au site usurpé et tous les liens autres que ceux de la partie « déjà client ? » pointent bien vers des éléments du site légitime!

 

Difficile de ne pas se faire avoir!

Mon conseil: une nouvelle fois n’utiliser les liens envoyer par les annonceurs dans leurs mails.

Non! Je ne vous conseillerai pas de fuir CDiscount et ses pratiques détestables, dans ce cas, ils n’y sont pour rien .

 

 

Ma rencontre avec trojan-downloader.win32.injecter.lim

Après quelques mois d’absence, je ne résiste pas à partager ma petite expérience du jour: j’ai reçu un mail infecté !

Incroyable! J’avais presque oublié que cela avait existé!

Le plus troublant c’est que j’ai « détecté » le probléme avant mon antivirus….

 

Voici le mail en question:

Ce mail visiblement en provenance de DHL à l’air tout à fait authentique, en particulier quand il est noyé dans des dizaines d’autres reçus le même jour.

Pour être crédible en fait le mail en html affiche le vrai logo de DHL depuis le site dhl-usa.com!

Difficile de faire plus authentique…

De plus, si on regarde en détail l’en-tête du mail, on a un peu de mal à faire le lien avec DHL.

A priori, il viendrait plutôt d’une boîte chez  financial-tracking.com.

Après une rapide recherche, il semble que cette adresse IP soit localisée en Chine.

(le régime chinois fait peut être bien de brider Internet dans son pays)

Je n’ai finalement pas été surpris de voir mon anti-virus détecté « trojan-downloader.win32.injecter.lim » et désinfecté mon mail. En revanche, je suis un peu plus intérrogatif sur le temps nécessaire pour cela… Plusieurs minutes, c’est un peu long.

Prudence donc! Les vieilles menaces demeurent …

Sans être aussi technique, ce mail était suspect pour 3 excellentes raisons:

  • Je n’ai rien envoyé par DHL depuis des années,
  • Je ne suis pas convaincu que DHL parle à ses clients français en anglais,
  • L’adresse où j’ai reçu ce mail ne sert que pour des tests (je ne la donne jamais).

Un bon anti-virus ne remplacera jamais un minimum de bon sens ! 🙂