Phishing EDF : L’origine de l’attaque

Depuis ce matin, on entend parler d’une “grosse attaque” des clients EDF… Sous ce titre racoleur se cache en fait une attaque en Phishing des plus classique : des pirates ont mis la main sur des tonnes d’emails français, et envoient un faux mail aux couleurs d’EDF envoyant sur une fausse page EDF hébergée sur un serveur compromis.

call-151.fr va aujourd’hui vous en dire plus sur cette attaque.

J’ai pour ma part reçu quatre de ces faux emails ces dernières semaines.

Screen Shot 2013-01-31 at 08.54.53

J’ai pour habitude lorsque j’ouvre un compte sur n’importe quel marchand, site, service sur internet de créer un alias email spécifique. (afin de pouvoir supprimer cet alias si le site/commerçant commence à me spammer, ou – et c’est intéressant dans le cas présent – de savoir qui s’est fait pirater ou a vendu les emails de ses clients).

La lecture des entêtes des emails reçus est sans appel : c’est France Aspiration qui a “fourni” l’email au pirates.

Screen Shot 2013-01-31 at 08.55.16 Screen Shot 2013-01-31 at 08.55.25franceaspi@xxxx.xxxx est l’alias que j’avais créé pour ce commerçant lorsque j’ai du acheter des choses chez lui. C’est donc la source de la fuite initiale, au moins pour une partie des emails, car on peut imaginer que les pirates ont agrégé plusieurs sources.

Screen Shot 2013-01-31 at 10.48.54

On remarque en outre sur la liste des emails ci-dessus (ceux adressés à l’alias sus-cité) qu’un spam a été envoyé à cette adresse le 15 Septembre 2012. Le piratage de leurs données clients (ou la vente de ces dernières), est donc antérieur à cette date.

Le lien vers la fausse page EDF est de type statique, aucun tracking n’est fait afin de valider les emails des “victimes naïves” pour un éventuel usage futur.

Screen Shot 2013-01-31 at 10.59.40

La fausse page EDF vers lequel pointe le lien fourni dans le mail est maintenant supprimée, mais… pas les outils utilisés par les pirates… On y retrouve des outils de mass-mailing en php, totalement fonctionnels au moment de la rédaction de ce post. (essayez, vous verrez)

Screen Shot 2013-01-31 at 08.55.54 Screen Shot 2013-01-31 at 08.56.18 Screen Shot 2013-01-31 at 08.56.32

This entry was posted in sécurité. Bookmark the permalink.

Leave a Reply

Your email address will not be published. Required fields are marked *

11 + nine =