l'homme numérique Index du Forum
S’enregistrerRechercherFAQMembresGroupesConnexion
HOWTO - Phishing - Comment tracer un e-mail douteux

 
Répondre au sujet    l'homme numérique Index du Forum » Informations numériques » Courrier Electronique et Messagerie Sujet précédent
Sujet suivant
HOWTO - Phishing - Comment tracer un e-mail douteux
Auteur Message
Domingo
Administrateur

Hors ligne

Inscrit le: 31 Juil 2013
Messages: 186
Masculin

Message HOWTO - Phishing - Comment tracer un e-mail douteux Répondre en citant
Phishing - Comment  tracer un e-mail douteux 


  
                            
GENERALITES :

Malgré toutes les précautions que vous pourrez prendre sur les mots de passe de vos comptes, il existe une technique très fréquemment utilisée permettant d'obtenir des mots de passe : l'hameçonnage (01) (Phishing).

En fait, cette technique a pour but essentiel de vous abuser et de vous faire fournir des informations que vous n'auriez jamais fournies en temps normal (mots de passe, information, sur les comptes ...etc)

Vous pourrez également avoir quelques informations sur une vidéo de Orange (02)



PRINCIPES DE FONCTIONNEMENT :

Cette technique consiste à faire parvenir sur votre boite aux lettres, un mail vous demandant simplement, pour diverses raisons (mises à jour, sécurité...etc), votre mot de passe. Voici ci-dessous, un exemple de mail type :


Normalement, ces sociétés ne vous demanderons jamais votre mot de passe. En partant de ce principe, vous ne devez, en aucun cas, répondre à ce type de mail.

L'université de Pari-Diderot (03) vous indique quelques techniques pour lutter contre le phishing.

Voici, cependant, quelques techniques qui vous permettront d'identifier les expéditeurs de ces courriels (dans la mesure où ceux-ci ne prennent pas suffisamment de précautions pour se dissimuler), à partir de l'en-tête du mail que vous avez reçu.

Comme je vous l'ai indiqué précédemment, tout individu laisse des traces sur internet. Dans le cas d'un mail, ces traces apparaissent dans l'en-tête du mail ; on y retrouve, entre autres, le serveur de mail qui a servi à l'envoi, l'adresse IP depuis laquelle s'est effectué cet envoi. Il reste donc souvent possible d'identifier la personne qui a effectué l'envoi.



MINIMUM REQUIS :

Si vous avez reçu le courriel sur votre webmail (04), il est bien souvent difficile de disposer des informations figurant dans l'en-tête.
Dans ce cas, il vous faudra transférer le mail sur un boite aux lettres que vous gérez par un programme client tel que Thunderbird (05). Ce client est, lui, capable de lire cet en-tête (dans Thunderbird, sélectionner le message désiré et faire Ctrl+U pour afficher les informations de l'en-tête - OU - Quand le message est affiché, aller dans le menu Affichage / En-têtes / Complets).


 
INFORMATIONS DE BASE :

Dans un premier temps, vous devez "descendre" les différents serveurs, afin de pister le mail et ainsi remonter à sa source.

Dans un autre exemple, Tartempion est la victime. Il a reçu sur sa boîte aux lettres yahoo, un "faux" mail de la part de l'administrateur de yahoo, postmaster_admin demandant le mot de passe de sa boîte aux lettre pour des raisons de sécurité. En réalité, ceci est une tentative d'hameçonnage (phishing) qui va permettre à l'expéditeur de ce "faux" mail de récupérer identifiant et mot de passe de la victime afin de se servir de sa boîte aux lettres à des fins malicieuses.
Voici l'en-tête et les informations qui sont récupérées depuis ce "faux" mail :
Code:




From - Thu Jul 19 12:29:39 2013
Received: from nm17-vm0.bullet.mail.ird.yahoo.com ([77.238.189.214])  by
 mail.ir2.yahoo.com with SMTP; Thu Jul 19 12:29:38 2013
Received: from [77.238.189.55] by nm17.bullet.mail.ird.yahoo.com with NNFMP;
 Thu Jul 19 11:29:37 2013
Received: from [212.82.98.118] by tm8.bullet.mail.ird.yahoo.com with NNFMP;
 Thu Jul 19  11:29:37 2013
Received: from [127.0.0.1] by omp1055.mail.ir2.yahoo.com with NNFMP;
 Thu Jul 19 11:29:37 2013
X-Yahoo-Newman-Property: ymail-3
X-Yahoo-Newman-Id: 630438.77126.bm@omp1055.mail.ir2.yahoo.com
Received: (qmail 45637 invoked by uid 60001); Thu Jul 19 11:29:37 2013
Received: from [196.201.74.92] by web133102.mail.ir2.yahoo.com via HTTP;
 Thu, Jul 19 11:29:37 GMT
X-Mailer: YahooMailWebService/0.8.137.519
Message-ID: <1363087777.41402.YahooMailNeo@web133102.mail.ir2.yahoo.com>
Date: Thu, Jul 19 11:29:37 2013
From: postmaster_admin@yahoo.fr
    <postmaster_admin@yahoo.fr>
Reply-To: postmaster_admin@yahoo.fr
    <postmaster_admin@yahoo.fr>
Subject: =?utf-8?B?UkU6IEJlc29pbiBkJ2FpZGUgLy8gTWljaMOobGUgSmVhbm5lIEdhcmNpYQ==?=
To: "tartempion@yahoo.com" <tartempion@yahoo.com>
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="679054512-806716787-1363087777=:41402"
Return-Path: postmaster_admin@yahoo.fr





Ici, les informations les plus importantes sont les suivantes :
  • date et heure d'envoi du mail (trouvées dans le dernier Recieved: from, c'est, ici, Thu, Jul 19 11:29:37 2013)
  • adresse IP de l'envoyeur (trouvée dans le dernier Recieved: from, c'est, ici, 196.201.74.92)


LOCALISATION DE L'ADRESSE IP D'ORIGINE :

Une fois l'adresse IP de l'envoyeur déterminée avec précision, non seulement, il faut localiser cet expéditeur physiquement ; mais, il faut, également, confirmer les renseignements obtenus dans l'en-tête du mail.

Pour obtenir des informations sur une adresse IP, il faut exécuter une requête du type whois (06), par exemple avec les sites. Il existe plusieurs sites qui peuvent effectuer des requêtes whois ; parmi eux, il y a ARIN (07), WHOIS-SEARCH (08). Grâce à cette requête, les informations suivantes vont être récupérées :
  • le réseau auquel appartient l'adresse IP
  • le nom du FAI
  • le nom de domaine du FAI
  • l'adresse postale du FAI
  • la ville du FAI
  • le pays du FAI
  • le téléphone du FAI
  • l'adresse e-mail de contact ou d'abuse
  • le registrar du FAI (dépositaire du domaine du FAI)

Dans notre exemple, voici ce que la requête permet de récupérer :
Code:




% This is the AfriNIC Whois server.
% Note: this output has been filtered.
% Information related to '196.201.74.0 - 196.201.75.255'
inetnum:    196.201.74.0 - 196.201.75.255
netname:        AVISONET
descr:            ISP Cote d'Ivoire
country:        CI
admin-c:        CTA1-AFRINIC
tech-c:            CTA1-AFRINIC
status:         ASSIGNED PA
mnt-by:            CIT-DT
mnt-lower:      CIT-DT
source:         AFRINIC # Filtered
parent:         196.201.64.0 - 196.201.95.255
role:           CONTACTS TEHNIQUE AVISO
address:        CI2M
address:        Avenue Houdaille
address:        Bp 310 cedex 01 Abidjan
address:        Ivoiry Coast
phone:          +225 20 30 09 94
e-mail:         plateforme.ip@orange-cit.ci
admin-c:        AAE11-AFRINIC
admin-c:        AMH1-AFRINIC
tech-c:            TAGE1-AFRINIC
tech-c:            NDF1-AFRINIC
mnt-by:         CIT-DT
nic-hdl:        CTA1-AFRINIC
source:         AFRINIC # Filtered






Enfin, il ne restera plus qu'à localiser physiquement l'envoyeur du mail. Certains sites tels que proposent d'effectuer cette géolocalisation ; par exemple, Localiser IP (09) ou Geo Preview (10) ou Melissa Data (11).

Dans notre exemple, voici ce que donne la géolocalisation Localiser IP (09) :


On obtient les informations suivantes dans Melissa Data :
 

Un petit tour dans Google Map (12) ou ToRop (13) précisera, ensuite, l'adresse exacte de l'envoyeur à partir de ses coordonnées satellites.
Dans notre exemple, voici ce que donne ToRop :




MESURES A PRENDRE :


Il y a 2 actions conjointes à effectuer :
  • une auprès du FAI de l'origine de l'envoi
  • une auprès des forces de l'ordre (à mon avis, cette tentative semble dépendre de la législation sur l'usurpation d'identité et de celle de la tentative d'abus de confiance ; mais seul des avocats pourront le confirmer)

1- FAI d'origine :

En fait, et comme c'est souvent indiqué dans les informations récupérées sur une adresse IP, les FAI disposent d'une adresse mail réservée aux abus. Dans le cas présent, cette adresse mail contient souvent le terme d'abuse.
Vous pourrez consulter le document Comment faire une plainte auprès d'un FAI (14) ou encore un document général sur le Spam et le Phishing (15).
Dans notre exemple, il faudrait écrire le courriel suivant à l'adresse  plateforme.ip@orange-cit.ci

 
Citation:




Bonjour,
J'ai reçu sur ma boîte aux lettres tartempion@yahoo.com, le 19-07-2013 à 12:29:39 un courriel de postmaster_admin@yahoo.fr, me demandant mon mot de passe, pour des raisons de sécurité.
Je me doutai bien que ce courriel n'était pas justifié. Aussi, j'ai tenté de localiser l'expéditeur du courriel d'origine à l'aide de son en-tête.
Mes démarches de localisation m'ont permis de déterminer que l'expéditeur était l'un de vos clients et qu'il avait émis son courriel depuis l'adresse postale Boulevard de la Paix - Abidjan - Côte d'Ivoire (adresse susceptible d'être partiellement incomplète), localisée aux coordonnées satellites latitude 5,3320 longitude -4,0300
Vous trouverez, ci-joint, une copie de toutes les pièces que j'ai produites afin de justifier cette tentative d'hameçonnage et de localiser l'expéditeur.
Je vous remercie d'entreprendre toutes démarches nécessaires afin que ce type d'action cesse. De mon côté, je dépose une plainte auprès des autorités compétentes de mon pays.
Cordialement.





 A cet exemple de courrier, vous pouvez aussi ajouter la version anglo-saxonne de ce courrier (traduction).
       

2- Forces de l'ordre :

Ensuite, une fois l'envoi effectué auprès du service abuse, il faut porter plainte auprès de votre commissariat local, en leur fournissant toutes les pièces ainsi que les démarches de recherche que vous avez entreprises (localisation du FAI, de l'adresse IP, de la géolocalisation...etc)
Conjointement à cette plainte, une plainte pourra être déposée, en plus, sur le site gouvernemental (16) prévu à cet effet :
     INFO ESCROQUERIES 
 
     0811 02 02 17 (Prix d'un appel local)
     https://www.internet-signalement.gouv.fr/


                        


SOURCES

(01) http://fr.wikipedia.org/wiki/Hameçonnage
(02) http://assistance.orange.fr/exemples-de-phishing-usurpant-l-identite-de-orange-1440.php
(03) http://www.eila.univ-paris-diderot.fr/sysadmin/securite/virus/phishing
(04) https://fr.wikipedia.org/wiki/Messagerie_web
(05) https://www.mozilla.org/fr/thunderbird/
(06) https://fr.wikipedia.org/wiki/Whois
(07) https://www.arin.net/
(08) http://www.whois-search.com/
(09) http://localiser-ip.com/
(10) http://fr.geoipview.com/
(11) http://www.melissadata.com/lookups/iplocation.asp
(12) https://maps.google.fr/
(13) http://www.torop.net/coordonnees-gps.php
(14) https:www.internetmonitor.lu/file/15281/
(15) https://www.signal-spam.fr/sites/default/files/content/document/fichier/Dossier%20de%20presse.pdf
(16) https://www.internet-signalement.gouv.fr/



_________________


Jeu 21 Jan - 18:48 (2016)
Publicité






Message Publicité
PublicitéSupprimer les publicités ?

Jeu 21 Jan - 18:48 (2016)
Montrer les messages depuis:    
Répondre au sujet    l'homme numérique Index du Forum » Informations numériques » Courrier Electronique et Messagerie Toutes les heures sont au format GMT + 2 Heures
Page 1 sur 1

 
Sauter vers: 

Index | Panneau d’administration | créer forum | Forum gratuit d’entraide | Annuaire des forums gratuits | Signaler une violation | Conditions générales d'utilisation
Powered by phpBB © 2001, 2005 phpBB Group
Design by Freestyle XL / Music Lyrics.Traduction par : phpBB-fr.com