HOWTO – Phishing – Comment tracer un e-mail douteux

Phishing – Comment  tracer un e-mail douteux  ?

GENERALITES :

Malgré toutes les précautions que vous pourrez prendre sur les mots de passe de vos comptes, il existe une technique très fréquemment utilisée permettant d’obtenir des mots de passe : l’hameçonnage (01) (Phishing).

En fait, cette technique a pour but essentiel de vous abuser et de vous faire fournir des informations que vous n’auriez jamais fournies en temps normal (mots de passe, information, sur les comptes …etc)

Vous pourrez également avoir quelques informations sur une vidéo de Orange (02)


PRINCIPES DE FONCTIONNEMENT :

Cette technique consiste à faire parvenir sur votre boite aux lettres, un mail vous demandant simplement, pour diverses raisons (mises à jour, sécurité…etc), votre mot de passe. Voici ci-dessous, un exemple de mail type :


Normalement, ces sociétés ne vous demanderons jamais votre mot de passe. En partant de ce principe, vous ne devez, en aucun cas, répondre à ce type de mail.

L’université de Pari-Diderot (03) vous indique quelques techniques pour lutter contre le phishing.

Voici, cependant, quelques techniques qui vous permettront d’identifier les expéditeurs de ces courriels (dans la mesure où ceux-ci ne prennent pas suffisamment de précautions pour se dissimuler), à partir de l’en-tête du mail que vous avez reçu.

Comme je vous l’ai indiqué précédemment, tout individu laisse des traces sur internet. Dans le cas d’un mail, ces traces apparaissent dans l’en-tête du mail ; on y retrouve, entre autres, le serveur de mail qui a servi à l’envoi, l’adresse IP depuis laquelle s’est effectué cet envoi. Il reste donc souvent possible d’identifier la personne qui a effectué l’envoi.


MINIMUM REQUIS :

Si vous avez reçu le courriel sur votre webmail (04), il est bien souvent difficile de disposer des informations figurant dans l’en-tête.
Dans ce cas, il vous faudra transférer le mail sur un boite aux lettres que vous gérez par un programme client tel que Thunderbird (05). Ce client est, lui, capable de lire cet en-tête (dans Thunderbird, sélectionner le message désiré et faire Ctrl+U pour afficher les informations de l’en-tête – OU – Quand le message est affiché, aller dans le menu Affichage / En-têtes / Complets).


INFORMATIONS DE BASE :

Dans un premier temps, vous devez « descendre » les différents serveurs, afin de pister le mail et ainsi remonter à sa source.

Dans un autre exemple, Tartempion est la victime. Il a reçu sur sa boîte aux lettres yahoo, un « faux » mail de la part de l’administrateur de yahoo, postmaster_admin demandant le mot de passe de sa boîte aux lettre pour des raisons de sécurité. En réalité, ceci est une tentative d’hameçonnage (phishing) qui va permettre à l’expéditeur de ce « faux » mail de récupérer identifiant et mot de passe de la victime afin de se servir de sa boîte aux lettres à des fins malicieuses.
Voici l’en-tête et les informations qui sont récupérées depuis ce « faux » mail :

Code:
From – Thu Jul 19 12:29:39 2013
Received: from nm17-vm0.bullet.mail.ird.yahoo.com ([77.238.189.214])  by
mail.ir2.yahoo.com with SMTP; Thu Jul 19 12:29:38 2013
Received: from [77.238.189.55] by nm17.bullet.mail.ird.yahoo.com with NNFMP;
Thu Jul 19 11:29:37 2013
Received: from [212.82.98.118] by tm8.bullet.mail.ird.yahoo.com with NNFMP;
Thu Jul 19  11:29:37 2013
Received: from [127.0.0.1] by omp1055.mail.ir2.yahoo.com with NNFMP;
Thu Jul 19 11:29:37 2013
X-Yahoo-Newman-Property: ymail-3
X-Yahoo-Newman-Id: 630438.77126.bm@omp1055.mail.ir2.yahoo.com
Received: (qmail 45637 invoked by uid 60001); Thu Jul 19 11:29:37 2013
Received: from [196.201.74.92] by web133102.mail.ir2.yahoo.com via HTTP;
Thu, Jul 19 11:29:37 GMT
X-Mailer: YahooMailWebService/0.8.137.519
Message-ID: <1363087777.41402.YahooMailNeo@web133102.mail.ir2.yahoo.com>
Date: Thu, Jul 19 11:29:37 2013
From: postmaster_admin@yahoo.fr
<postmaster_admin@yahoo.fr>
Reply-To: postmaster_admin@yahoo.fr
<postmaster_admin@yahoo.fr>
Subject: =?utf-8?B?UkU6IEJlc29pbiBkJ2FpZGUgLy8gTWljaMOobGUgSmVhbm5lIEdhcmNpYQ==?=
To: « tartempion@yahoo.com » <tartempion@yahoo.com>
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary= »679054512-806716787-1363087777=:41402″
Return-Path: postmaster_admin@yahoo.fr

Ici, les informations les plus importantes sont les suivantes :

  • date et heure d’envoi du mail (trouvées dans le dernier Recieved: from, c’est, ici, Thu, Jul 19 11:29:37 2013)
  • adresse IP de l’envoyeur (trouvée dans le dernier Recieved: from, c’est, ici, 196.201.74.92)

 


LOCALISATION DE L’ADRESSE IP D’ORIGINE :

Une fois l’adresse IP de l’envoyeur déterminée avec précision, non seulement, il faut localiser cet expéditeur physiquement ; mais, il faut, également, confirmer les renseignements obtenus dans l’en-tête du mail.

Pour obtenir des informations sur une adresse IP, il faut exécuter une requête du type whois (06), par exemple avec les sites. Il existe plusieurs sites qui peuvent effectuer des requêtes whois ; parmi eux, il y a ARIN (07), WHOIS-SEARCH (08). Grâce à cette requête, les informations suivantes vont être récupérées :

  • le réseau auquel appartient l’adresse IP
  • le nom du FAI
  • le nom de domaine du FAI
  • l’adresse postale du FAI
  • la ville du FAI
  • le pays du FAI
  • le téléphone du FAI
  • l’adresse e-mail de contact ou d’abuse
  • le registrar du FAI (dépositaire du domaine du FAI)

Dans notre exemple, voici ce que la requête permet de récupérer :

Code:
% This is the AfriNIC Whois server.
% Note: this output has been filtered.
% Information related to ‘196.201.74.0 – 196.201.75.255’
inetnum:    196.201.74.0 – 196.201.75.255
netname:        AVISONET
descr:            ISP Cote d’Ivoire
country:        CI
admin-c:        CTA1-AFRINIC
tech-c:            CTA1-AFRINIC
status:         ASSIGNED PA
mnt-by:            CIT-DT
mnt-lower:      CIT-DT
source:         AFRINIC # Filtered
parent:         196.201.64.0 – 196.201.95.255
role:           CONTACTS TEHNIQUE AVISO
address:        CI2M
address:        Avenue Houdaille
address:        Bp 310 cedex 01 Abidjan
address:        Ivoiry Coast
phone:          +225 20 30 09 94
e-mail:         plateforme.ip@orange-cit.ci
admin-c:        AAE11-AFRINIC
admin-c:        AMH1-AFRINIC
tech-c:            TAGE1-AFRINIC
tech-c:            NDF1-AFRINIC
mnt-by:         CIT-DT
nic-hdl:        CTA1-AFRINIC
source:         AFRINIC # Filtered

Enfin, il ne restera plus qu’à localiser physiquement l’envoyeur du mail. Certains sites tels que proposent d’effectuer cette géolocalisation ; par exemple, Localiser IP (09) ou Geo Preview (10) ou Melissa Data (11).

Dans notre exemple, voici ce que donne la géolocalisation Localiser IP (09) :

On obtient les informations suivantes dans Melissa Data :

Un petit tour dans Google Map (12) ou ToRop (13) précisera, ensuite, l’adresse exacte de l’envoyeur à partir de ses coordonnées satellites.
Dans notre exemple, voici ce que donne ToRop :


MESURES A PRENDRE :

Il y a 2 actions conjointes à effectuer :

  • une auprès du FAI de l’origine de l’envoi
  • une auprès des forces de l’ordre (à mon avis, cette tentative semble dépendre de la législation sur l’usurpation d’identité et de celle de la tentative d’abus de confiance ; mais seul des avocats pourront le confirmer)

1- FAI d’origine :

En fait, et comme c’est souvent indiqué dans les informations récupérées sur une adresse IP, les FAI disposent d’une adresse mail réservée aux abus. Dans le cas présent, cette adresse mail contient souvent le terme d’abuse.
Vous pourrez consulter le document Comment faire une plainte auprès d’un FAI (14) ou encore un document général sur le Spam et le Phishing (15).
Dans notre exemple, il faudrait écrire le courriel suivant à l’adresse  plateforme.ip@orange-cit.ci

Citation:
Bonjour,
J’ai reçu sur ma boîte aux lettres tartempion@yahoo.com, le 19-07-2013 à 12:29:39 un courriel de postmaster_admin@yahoo.fr, me demandant mon mot de passe, pour des raisons de sécurité.
Je me doutai bien que ce courriel n’était pas justifié. Aussi, j’ai tenté de localiser l’expéditeur du courriel d’origine à l’aide de son en-tête.
Mes démarches de localisation m’ont permis de déterminer que l’expéditeur était l’un de vos clients et qu’il avait émis son courriel depuis l’adresse postale Boulevard de la Paix – Abidjan – Côte d’Ivoire (adresse susceptible d’être partiellement incomplète), localisée aux coordonnées satellites latitude 5,3320 longitude -4,0300
Vous trouverez, ci-joint, une copie de toutes les pièces que j’ai produites afin de justifier cette tentative d’hameçonnage et de localiser l’expéditeur.
Je vous remercie d’entreprendre toutes démarches nécessaires afin que ce type d’action cesse. De mon côté, je dépose une plainte auprès des autorités compétentes de mon pays.
Cordialement.

A cet exemple de courrier, vous pouvez aussi ajouter la version anglo-saxonne de ce courrier (traduction).

2- Forces de l’ordre :

Ensuite, une fois l’envoi effectué auprès du service abuse, il faut porter plainte auprès de votre commissariat local, en leur fournissant toutes les pièces ainsi que les démarches de recherche que vous avez entreprises (localisation du FAI, de l’adresse IP, de la géolocalisation…etc)
Conjointement à cette plainte, une plainte pourra être déposée, en plus, sur le site gouvernemental (16) prévu à cet effet :
INFO ESCROQUERIES

     0811 02 02 17 (Prix d’un appel local)
https://www.internet-signalement.gouv.fr/


SOURCES

(01) http://fr.wikipedia.org/wiki/Hameçonnage
(02) http://assistance.orange.fr/exemples-de-phishing-usurpant-l-identite-de-orange-1440.php
(03) http://www.eila.univ-paris-diderot.fr/sysadmin/securite/virus/phishing
(04) https://fr.wikipedia.org/wiki/Messagerie_web
(05) https://www.mozilla.org/fr/thunderbird/
(06) https://fr.wikipedia.org/wiki/Whois
(07) https://www.arin.net/
(08) http://www.whois-search.com/
(09) http://localiser-ip.com/
(10) http://fr.geoipview.com/
(11) http://www.melissadata.com/lookups/iplocation.asp
(12) https://maps.google.fr/
(13) http://www.torop.net/coordonnees-gps.php
(14) https://www.internetmonitor.lu/file/15281/
(15) https://www.signal-spam.fr/sites/default/files/content/document/fichier/Dossier%20de%20presse.pdf
(16) https://www.internet-signalement.gouv.fr/

Publicités
Cet article, publié dans Courrier Electronique et Messagerie, HOWTO, Logiciels et systèmes, est tagué . Ajoutez ce permalien à vos favoris.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s