Discussion:
Hameçonnage
(trop ancien pour répondre)
Jac
2023-10-02 10:30:46 UTC
Permalink
Bonjour,

Je viens d'envoyer ce message en réponse à un contributeur de
fr.rec.bricolage mais je pense qu'il fera plus joli ici :

-------------------

<cit>
Nous souhaitons vous informer qu'une pénalité de 35,00 euros, émise par
l'organisme chargé du traitement automatisé des infractions au niveau
national, présente actuellement un retard de règlement.
Nous vous rappelons que cette contravention a été émise en raison d'un
stationnement gênant.
Veuillez noter qu'une majoration de 135,00 euros sera appliquée si le
paiement n'est pas effectué dans les deux jours ouvrables.
Nous vous prions donc de régulariser cette situation dans les plus
brefs délais.
Numéro de référence de télépaiement : 8923618430.
</cit>

Mais ce qui m'intrigue en fait, c'est le domaine de l'expéditeur :
interieur.gouv.fr .
Comment peut-on avoir une adresse qui se termine par gouv.fr ?

Extrait des propriétés du message :

Delivered-To: ***@jacfr.fr
From: "***@interieur.gouv.fr" <***@interieur.gouv.fr>
Subject:
=?utf-8?q?info_=3A_Retard_De_T=C3=A9l=C3=A9paiement_-_22=3A18?=

Etc.

Je me perds en conjectures, comme on dit.

----------------

J'ai regardé l'adresse de la cible sur laquelle pointe le bouton
"PAYER" et ça m'envoie sur <https://ent-auvergnerhonealpes.com/> qui
n'a pas grand chose à voir avec le centre de paiement des amendes sans
doute (je n'y suis pas allé, j'ai juste fait "Copier le lien" sur le
bouton).

Merci de votre attention.
Olivier Miakinen
2023-10-02 10:56:05 UTC
Permalink
Post by Jac
interieur.gouv.fr .
Comment peut-on avoir une adresse qui se termine par gouv.fr ?
Exactement de la même façon que tu peux avoir une adresse qui se termine
par jnj.com.invalid : en remplissant ce champ qui n'est vérifié par aucun
agent dans la transmission du courriel en SMTP.
Post by Jac
J'ai regardé l'adresse de la cible sur laquelle pointe le bouton
"PAYER" et ça m'envoie sur <https://ent-auvergnerhonealpes.com/> qui
n'a pas grand chose à voir avec le centre de paiement des amendes
Ben voilà. Le spammeur/hameçonneur a juste besoin d'avoir déposé ce
nom et d'y avoir créé son site d'hameçonnage. L'adresse en gouv.fr est
seulement là pour la frime.
--
Olivier Miakinen
Jac
2023-10-02 11:07:22 UTC
Permalink
Post by Olivier Miakinen
Post by Jac
interieur.gouv.fr .
Comment peut-on avoir une adresse qui se termine par gouv.fr ?
Exactement de la même façon que tu peux avoir une adresse qui se termine
par jnj.com.invalid : en remplissant ce champ qui n'est vérifié par aucun
agent dans la transmission du courriel en SMTP.
En fait, cette adresse a vraiment existé mais je ne l'utilise plus
depuis que je suis parti de la société. Je l'ai gardée et invalidée des
fois que des anciens collègues me reconnaîtraient.
Post by Olivier Miakinen
Post by Jac
J'ai regardé l'adresse de la cible sur laquelle pointe le bouton
"PAYER" et ça m'envoie sur <https://ent-auvergnerhonealpes.com/> qui
n'a pas grand chose à voir avec le centre de paiement des amendes
Ben voilà. Le spammeur/hameçonneur a juste besoin d'avoir déposé ce
nom et d'y avoir créé son site d'hameçonnage. L'adresse en gouv.fr est
seulement là pour la frime.
Oui, merci, je pensais qu'on ne pouvait pas utiliser le fameux gouv.fr.
J'ai fouiné un peu, c'est édifiant, quand on va sur le site sus-nommé,
on tombe sur la copie exacte du site de l'ANTAI et plus d'un doit se
faire prendre.
Jac
2023-10-02 11:19:20 UTC
Permalink
En fait, cette adresse a vraiment existé mais je ne l'utilise plus depuis que
je suis parti de la société. Je l'ai gardée et invalidée des fois que des
anciens collègues me reconnaîtraient.
Ce qui s'est effectivement passé plusieurs fois sur frje ;o) .
pehache
2023-10-02 11:13:38 UTC
Permalink
Post by Olivier Miakinen
Post by Jac
interieur.gouv.fr .
Comment peut-on avoir une adresse qui se termine par gouv.fr ?
Exactement de la même façon que tu peux avoir une adresse qui se termine
par jnj.com.invalid : en remplissant ce champ
oui
Post by Olivier Miakinen
qui n'est vérifié par aucun
agent dans la transmission du courriel en SMTP.
Ce n'est pas tout à fait vrai. Certains serveurs SMTP exigent que le
domaine du From soit le même que son propre domaine, ou bien soit
"vérifié" (envoie d'un mail à l'adresse du From pour vérifier que
c'est bien une adresse gérée par l'expéditeur). Mais il facile de
trouver SMTP qui n'opère aucune vérification, ou de monter un serveur
SMTP soi-même.

Par contre à la réception, de plus en plus de fournisseurs de boîtes
mail (gmail par exemple) exigent que le domaine du From soit le même que
le domaine du serveur SMTP, ou bien que le domaine du From ait reçu une
délégation pour envoyer des mails au nom du domaine du serveur SMTP. Si
ce n'est pas le cas le mail entrant est refusé.
Thierry Pinelli
2023-10-02 11:34:48 UTC
Permalink
Post by Olivier Miakinen
Ben voilà. Le spammeur/hameçonneur a juste besoin d'avoir déposé ce
nom et d'y avoir créé son site d'hameçonnage. L'adresse en gouv.fr est
seulement là pour la frime.
non, elle est là pour faire "croire que" ....
Olivier Miakinen
2023-10-02 14:05:16 UTC
Permalink
Post by Thierry Pinelli
Post by Olivier Miakinen
Ben voilà. Le spammeur/hameçonneur a juste besoin d'avoir déposé ce
nom et d'y avoir créé son site d'hameçonnage. L'adresse en gouv.fr est
seulement là pour la frime.
non, elle est là pour faire "croire que" ....
C'est ce que je voulais dire. Quoi qu'il en soit je suis d'accord.
--
Olivier Miakinen
Thierry Pinelli
2023-10-02 11:38:31 UTC
Permalink
Subject: =?utf-8?q?info_=3A_Retard_De_T=C3=A9l=C3=A9paiement_-_22=3A18?=
Etc.
Je me perds en conjectures, comme on dit.
----------------
J'ai regardé l'adresse de la cible sur laquelle pointe le bouton "PAYER"
et ça m'envoie sur <https://ent-auvergnerhonealpes.com/> qui n'a pas
grand chose à voir avec le centre de paiement des amendes sans doute (je
n'y suis pas allé, j'ai juste fait "Copier le lien" sur le bouton).
on ne paye pas des amendes au Ministère de l'Interieur mais aux services
des Finances Publiques

https://www.amendes.gouv.fr/tai

bien lire
Sergio
2023-10-02 11:44:23 UTC
Permalink
Post by Jac
Bonjour,
-------------------
<cit>
Nous souhaitons vous informer qu'une pénalité de 35,00 euros, émise par l'organisme chargé du traitement automatisé des infractions au niveau national, présente actuellement un retard de règlement.
Nous vous rappelons que cette contravention a été émise en raison d'un stationnement gênant.
Veuillez noter qu'une majoration de 135,00 euros sera appliquée si le paiement n'est pas effectué dans les deux jours ouvrables.
Nous vous prions donc de régulariser cette situation dans les plus brefs délais.
Numéro de référence de télépaiement : 8923618430.
</cit>
interieur.gouv.fr .
Comment peut-on avoir une adresse qui se termine par gouv.fr ?
Subject: =?utf-8?q?info_=3A_Retard_De_T=C3=A9l=C3=A9paiement_-_22=3A18?=
1) as-tu une voiture ?
2) (si oui) as-tu renseigné ton e-mail quand tu l'as immatriculée ?
3) (si oui, oui) pense-tu avoir commis l’infraction ?
4) vérifie que le lien fourni pointe bien sur gouv.fr
--
Serge http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org
Jac
2023-10-02 14:23:48 UTC
Permalink
Post by Sergio
Post by Jac
interieur.gouv.fr .
Comment peut-on avoir une adresse qui se termine par gouv.fr ?
1) as-tu une voiture ?
2) (si oui) as-tu renseigné ton e-mail quand tu l'as immatriculée ?
3) (si oui, oui) pense-tu avoir commis l’infraction ?
4) vérifie que le lien fourni pointe bien sur gouv.fr
Merci :-) .
pehache
2023-10-03 09:15:43 UTC
Permalink
Post by Sergio
1) as-tu une voiture ?
2) (si oui) as-tu renseigné ton e-mail quand tu l'as immatriculée ?
3) (si oui, oui) pense-tu avoir commis l’infraction ?
4) vérifie que le lien fourni pointe bien sur gouv.fr
J'ai immatriculé les dernières voitures du foyer en ligne, donc avec
adresse email fournie.

Les quelques amendes qu'on a reçues sont toujours arrivées par courrier
physique, jamais par email ou par SMS.
Michel
2023-10-02 13:39:01 UTC
Permalink
Post by Jac
Comment peut-on avoir une adresse qui se termine par gouv.fr ?
L'entête From: d'un mail est purement esthétique et peut d'ailleurs ne
pas exister. Il faut regarder la toute première ligne du mail (du contenu
complet) qui contient le vrai from. Et de toute façon il faut aussi
regarder les autres entêtes notamment Received: pour voir les
incohérences.
Olivier Miakinen
2023-10-02 14:16:32 UTC
Permalink
Post by Michel
L'entête From: d'un mail est purement esthétique
Oui.
Post by Michel
et peut d'ailleurs ne pas exister.
Bof. Dès le RFC 822 le champ From a toujours été obligatoire, et bien sûr
cette obligation est restée dans les RFC 2822 et 5322. Alors peut-être
que certains messages peuvent arriver sans des entêtes obligatoires, mais
en principe ça ne devrait pas.
Post by Michel
Il faut regarder la toute première ligne du mail (du contenu
complet) qui contient le vrai from.
Quoi ? Merci de préciser ce que tu entends par là.
--
Olivier Miakinen
Jac
2023-10-02 14:27:22 UTC
Permalink
Post by Olivier Miakinen
Post by Michel
Il faut regarder la toute première ligne du mail (du contenu
complet) qui contient le vrai from.
Quoi ? Merci de préciser ce que tu entends par là.
C'est le charcutier qui répond : je comprends qu'il s'agit de la ligne
"Return-Path".
Olivier Miakinen
2023-10-02 16:56:51 UTC
Permalink
Post by Jac
Post by Olivier Miakinen
Post by Michel
Il faut regarder la toute première ligne du mail (du contenu
complet) qui contient le vrai from.
Quoi ? Merci de préciser ce que tu entends par là.
C'est le charcutier qui répond : je comprends qu'il s'agit de la ligne
"Return-Path".
Ah oui, celui qui est censé contenir le FROM d'enveloppe. C'est vrai qu'il a
moins de risques d'être trafiqué puisque les spammeurs n'ont pas tellement
besoin de le faire.
--
Olivier Miakinen
Michel
2023-10-02 17:28:56 UTC
Permalink
Post by Jac
Post by Olivier Miakinen
Post by Michel
Il faut regarder la toute première ligne du mail (du contenu
complet) qui contient le vrai from.
Quoi ? Merci de préciser ce que tu entends par là.
C'est le charcutier qui répond : je comprends qu'il s'agit de la ligne
"Return-Path".
Non plus, le Return-Path peut aussi être forcé à autre chose. C'est
d'ailleurs assez fréquent pour les mailing lists qui veulent suivre à
part les bounces.
Olivier Miakinen
2023-10-03 12:23:01 UTC
Permalink
Post by Michel
Post by Jac
Post by Olivier Miakinen
Post by Michel
Il faut regarder la toute première ligne du mail (du contenu
complet) qui contient le vrai from.
Quoi ? Merci de préciser ce que tu entends par là.
C'est le charcutier qui répond : je comprends qu'il s'agit de la ligne
"Return-Path".
Non plus,
Ah ?
Post by Michel
le Return-Path peut aussi être forcé à autre chose. C'est
d'ailleurs assez fréquent pour les mailing lists qui veulent suivre à
part les bounces.
Dans ce cas je ne sais pas quelle est cette « première ligne » à laquelle
tu fais allusion. Pour moi, la première ligne non ajoutée par Thunderbird
est le Return-Path. Et bien entendu Thunderbird ne pouvait rien savoir de
plus à propos du vrai expéditeur, et les six lignes ajoutées n'ont rien à
voir avec ça.
--
Olivier Miakinen
Olivier Miakinen
2023-10-09 19:33:53 UTC
Permalink
Post by Olivier Miakinen
Post by Michel
Post by Jac
C'est le charcutier qui répond : je comprends qu'il s'agit de la ligne
"Return-Path".
Non plus,
Ah ?
Post by Michel
le Return-Path peut aussi être forcé à autre chose. C'est
d'ailleurs assez fréquent pour les mailing lists qui veulent suivre à
part les bounces.
Dans ce cas je ne sais pas quelle est cette « première ligne » à laquelle
tu fais allusion.
Et je suis toujours curieux de savoir à quoi tu pensais.

Tu as quelques exemples, spams ou non-spams ?
--
Olivier Miakinen
Michel
2023-10-10 10:05:41 UTC
Permalink
Post by Olivier Miakinen
Post by Olivier Miakinen
Dans ce cas je ne sais pas quelle est cette « première ligne » à laquelle
tu fais allusion.
Et je suis toujours curieux de savoir à quoi tu pensais.
Tu as quelques exemples, spams ou non-spams ?
En fait je faisais assez confiance à un header X-From-Line. Mais il est
ajouté par Gnus en se basant sur le header From. D'autres messageries
ajoutent leurs propres headers, et sans doute sans plus de fiabilité :
les spammers peuvent changer le From et le Return-Path. Donc rien ne
remplace l'analyse des Received.
Olivier Miakinen
2023-10-10 18:14:31 UTC
Permalink
Post by Michel
Post by Olivier Miakinen
Post by Olivier Miakinen
Dans ce cas je ne sais pas quelle est cette « première ligne » à laquelle
tu fais allusion.
Et je suis toujours curieux de savoir à quoi tu pensais.
Tu as quelques exemples, spams ou non-spams ?
En fait je faisais assez confiance à un header X-From-Line. Mais il est
ajouté par Gnus en se basant sur le header From. D'autres messageries
les spammers peuvent changer le From et le Return-Path. Donc rien ne
remplace l'analyse des Received.
D'accord. Merci de l'explication.

D'expérience il me semble que le Return-Path est un peu moins souvent
forgé que le From, mais en effet tous les deux peuvent l'être.
--
Olivier Miakinen
Michel
2023-10-02 18:38:28 UTC
Permalink
Post by Jac
Post by Olivier Miakinen
Post by Michel
Il faut regarder la toute première ligne du mail (du contenu
complet) qui contient le vrai from.
Quoi ? Merci de préciser ce que tu entends par là.
C'est le charcutier qui répond : je comprends qu'il s'agit de la ligne
"Return-Path".
Mais bon tu as raison le Return-Path est positionné au from de
l'enveloppe par tout bon serveur de messagerie. Les spams et les mailing
lists montrent juste que ce champ ne doit pas être pris pour argent
comptant.
Michel
2023-10-02 17:25:54 UTC
Permalink
Post by Olivier Miakinen
Bof. Dès le RFC 822 le champ From a toujours été obligatoire, et bien sûr
cette obligation est restée dans les RFC 2822 et 5322. Alors peut-être
que certains messages peuvent arriver sans des entêtes obligatoires, mais
en principe ça ne devrait pas.
J'ai reçu assez récemment des mails sans. Gnus m'affichait un From:
bricolé. C'est d'ailleurs assez facile à créer avec un telnet. On voit
que le FROM obligatoire est celui de l'enveloppe, le reste fait partie du
corps du mail, donc sans vérification.
Post by Olivier Miakinen
Post by Michel
Il faut regarder la toute première ligne du mail (du contenu
complet) qui contient le vrai from.
Quoi ? Merci de préciser ce que tu entends par là.
Je parle du contenu complet, parfois appelé source du mail, ou entêtes
cachées...
La toute première ligne normalement est positionnée avec le from de
l'enveloppe. Ca peut être une entête X-From-Line:, ou autre peut-être je
ne sais plus bien, positionné par le serveur de réception.
Olivier Miakinen
2023-10-03 12:17:40 UTC
Permalink
Post by Michel
Post by Olivier Miakinen
Bof. Dès le RFC 822 le champ From a toujours été obligatoire, et bien sûr
cette obligation est restée dans les RFC 2822 et 5322. Alors peut-être
que certains messages peuvent arriver sans des entêtes obligatoires, mais
en principe ça ne devrait pas.
bricolé. C'est d'ailleurs assez facile à créer avec un telnet. On voit
que le FROM obligatoire est celui de l'enveloppe, le reste fait partie du
corps du mail, donc sans vérification.
Ok. Et donc le FROM d'enveloppe est celui qui est mis dans le champ Return-Path
et qui sert dans le cas d'un bounce. Mais ce n'est pas forcément l'adresse de
courriel de l'expéditeur initial non plus : dans le cas d'une mailing list,
cela peut être une adresse contenant une info concernant le destinataire.
Post by Michel
Post by Olivier Miakinen
Post by Michel
Il faut regarder la toute première ligne du mail (du contenu
complet) qui contient le vrai from.
Quoi ? Merci de préciser ce que tu entends par là.
Je parle du contenu complet, parfois appelé source du mail, ou entêtes
cachées...
La toute première ligne normalement est positionnée avec le from de
l'enveloppe. Ca peut être une entête X-From-Line:, ou autre peut-être je
ne sais plus bien, positionné par le serveur de réception.
Dans le cas de mon courrier récupéré par POP avec Thunderbird, j'ai six
lignes ajoutées par Thunderbird avant la vraie première ligne qui est le
Return-Path.

Exemple d'un spam reçu, avec l'adresse du spammeur dans le Return-Path :
==========================================================================
From - Fri Sep 29 21:38:58 2023
X-Account-Key: account2
X-UIDL: 1695989054.P31686Q44.lmtp.galacsys.net
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:

Return-Path: <***@arl.informom.coupons>
==========================================================================

Exemple d'un message reçu d'une mailing list, avec ma propre adresse codée
dans le Return-Path quel que soit le vrai expéditeur :
==========================================================================
From - Tue Oct 3 08:43:47 2023
X-Account-Key: account2
X-UIDL: 1696284589.P30336Q2.lmtp.galacsys.net
X-Mozilla-Status: 0011
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:

Return-Path: <lilypond-user-fr-bounces+om+lilypond=***@gnu.org>
==========================================================================
--
Olivier Miakinen
Th.A.C
2023-10-03 19:43:36 UTC
Permalink
Post by Jac
----------------
J'ai regardé l'adresse de la cible sur laquelle pointe le bouton "PAYER"
et ça m'envoie sur <https://ent-auvergnerhonealpes.com/> qui n'a pas
grand chose à voir avec le centre de paiement des amendes sans doute (je
n'y suis pas allé, j'ai juste fait "Copier le lien" sur le bouton).
ils ont simplement acheté un nom de domaine qui ressemble au site
officiel qui est en .fr et avec un '.' à la place du '_':
https://www.ent.auvergnerhonealpes.fr/

Après ca redirige vers le site ou ils vont tenter de faire payer...:
https://infraction-antai- r e g l e m e n t s . c o m/
Jac
2023-10-03 22:44:02 UTC
Permalink
Post by Jac
----------------
J'ai regardé l'adresse de la cible sur laquelle pointe le bouton "PAYER" et
ça m'envoie sur <https://ent-auvergnerhonealpes.com/> qui n'a pas grand
chose à voir avec le centre de paiement des amendes sans doute (je n'y suis
pas allé, j'ai juste fait "Copier le lien" sur le bouton).
ils ont simplement acheté un nom de domaine qui ressemble au site officiel
https://www.ent.auvergnerhonealpes.fr/
Je ne comprends pas l'astuce de faire croire qu'on passe par cette
région !
https://infraction-antai- r e g l e m e n t s . c o m/
Oui, j'avais le temps et je suis allé jeter un oeil.
Merci.
Continuer la lecture sur narkive:
Loading...