Arnaques avec les petites annonces

Ici on parle de tout

Modérateurs : boZZo, stef

Avatar de l’utilisateur
eric
Messages : 1795
Inscription : jeu. 14 avr. 2016 17:36
Localisation : Athènes-Paris

Re: Arnaques avec les petites annonces

Message par eric » mer. 25 juil. 2018 07:12

Merci pour tous vos conseils, donc je ne touche à rien! :)
Sky Country Kites - F-one Wing -F-one Phantom - Rocket 5'5 & 5'4- Pocket

Gwen à ailes
Messages : 218
Inscription : sam. 6 janv. 2018 19:50

Re: Arnaques avec les petites annonces

Message par Gwen à ailes » dim. 29 juil. 2018 09:48

Merci, top infos/déminage de tous

Avatar de l’utilisateur
voodoo13
Messages : 6621
Inscription : sam. 18 août 2012 17:51
Localisation : De St Gilles à Kerhilio...

Re: Arnaques avec les petites annonces

Message par voodoo13 » mar. 6 nov. 2018 22:50

Un petit adendum (mot non reconnu dans le dico): si vous recevez un email avec un lien vers votre banque/paypal/autre et que vous avez le moindre doute... ne cliquez pas !
Passez par votre URL habituelle et vous retrouverez la même info mais au moins vous êtes sûrs que ce sera sécurisé.

Tout ça pour introduire le post suivant...
;-)
Speed 3 DLX 12m || Religion MK V à VI en 10.5/9/7 || Core Section 6 (ex Bozzo) || Pansh Genesis 6.5 || Fatal Kite 5.0 || Catch Kite 5'2 || Matata kite 5'2 ||
Et aussi: surfs, funboard, bodyboard, Sealion, MTBs... et des jumeaux (année modèle 2010).

Avatar de l’utilisateur
voodoo13
Messages : 6621
Inscription : sam. 18 août 2012 17:51
Localisation : De St Gilles à Kerhilio...

Re: Arnaques avec les petites annonces

Message par voodoo13 » mar. 6 nov. 2018 22:51

Si vous avez un compte paypal, vous avez du recevoir aujourd'hui un email intitulé
"Consultez l'activité de votre compte PayPal"

Si tout va bien, il est passé dans vos spams, ce qui était le cas chez moi.
Comme l’email était bien fait et surtout comme il contenait mes nom/prénom, j’ai tout de suite eu un doute et j’ai jeté un œil.
D’habitude je repère un fake en qqes secondes, là il a fallu que je cherche qqes minutes pour trouver pourquoi c’était un vrai.

Plusieurs gars avaient déjà soulevé le problème, je suis vite arrivé à la même conclusion qu’eux.
Ici un gars qui a cherché et compris:
https://blog.demees.net/?p=630
Avec sa conclusion:
"Conclusion, c’est un faux ! (et pourtant c’est un vrai, mais Paypal l’ignore)“
Ha, un peu d’humour désabusé !

Bref, tout ça pour dire que ça devient parfois difficile de différencier un véritable email mal fait d’un phishing bien fait…
;-)

Je vais essayer de vous faire la démo dans le post suivant
Speed 3 DLX 12m || Religion MK V à VI en 10.5/9/7 || Core Section 6 (ex Bozzo) || Pansh Genesis 6.5 || Fatal Kite 5.0 || Catch Kite 5'2 || Matata kite 5'2 ||
Et aussi: surfs, funboard, bodyboard, Sealion, MTBs... et des jumeaux (année modèle 2010).

Avatar de l’utilisateur
voodoo13
Messages : 6621
Inscription : sam. 18 août 2012 17:51
Localisation : De St Gilles à Kerhilio...

Re: Arnaques avec les petites annonces

Message par voodoo13 » mar. 6 nov. 2018 23:46

Donc:
- l'email est dans mes spams
- son contenu est particulièrement bien fait
- il contient mes nom/prénom, j'insiste là-dessus car c'est ça qui permet de différencier un email frauduleux au 1er coup d'œil (s'il a mon nom/prénom, soit le hacker est très fort, soit c'est un véritable email)

-> ça sent pas bon !
Soit je me suis fait hacker, soit Paypal s'est fait hacker
J'aime pas ça donc je fouille !

Ceux qui ont des compétences informatiques ou qui s'intéressent au bouzin vous pouvez rester.
Ceux qui s'en tapent, le radiateur est au fond à droite et le spectacle dans la cour est certainement plus intéressant !


Voici les entêtes de l'email (j'ai évidemment remplacé les infos nominatives et l'IP du serveur)


Return-Path: <bounce-HP2v400000166e9d43679a7aadcf4bbcf6cc0167@mail.paypal.fr>
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on nomdemonautreserveur.tld
X-Spam-Level:
X-Spam-Status: No, score=-1.9 required=5.0 tests=BAYES_00,HTML_IMAGE_RATIO_08,
HTML_MESSAGE,SPF_FAIL,URIBL_BLOCKED autolearn=no autolearn_force=no
version=3.4.0
X-Original-To: voodoo-est-un-fou@en-test.com
Delivered-To: voodoo-est-un-fou@en-test.com
Received: from nomdemonserveur.tld (nomdemonserveur.tld [IP.de.mon.serveur])
by nomdemonautreserveur.tld (Postfix) with ESMTPS id 6FBC92302A1B
for <voodoo-est-un-fou@en-test.com>; Tue, 6 Nov 2018 17:21:37 +0100 (CET)
Received: by nomdemonserveur.tld (Postfix, from userid 30)
id 1263BC461BD; Tue, 6 Nov 2018 17:21:37 +0100 (CET)
X-Original-To: adressedemonclient@domainedemonclient.tld
Delivered-To: adressedemonclient@domainedemonclient.tld
Received: from mta106b.pmx1.epsl1.com (mta106b.pmx1.epsl1.com [142.54.244.106])
by nomdemonserveur.tld (Postfix) with ESMTPS id 26A1BC443B5
for <adressedemonclient@domainedemonclient.tld>; Tue, 6 Nov 2018 17:21:35 +0100 (CET)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=mail.paypal.fr;
s=pp-epsilon1; t=1541521293;
bh=NMk+zb8f7BJsLsqX8WDZdqWT5B+yi8BFr3ELKtRK9/k=;
h=MIME-Version:Subject:From:To:Date:Content-Type;
b=tPlroIGkYfVJ2h2UkKUd3zJvBBg6MXn8jgtS8roTpE1/tax6JBG2mq4jwuS2koSkK
tC8c314AhvvDvXdyopsdwfIdhuRRf8zWXzOaCCiwxVD60PNauX8JFikFs61mi0fNV7
15BNuqZAP+dcVgjlpTh6NvKRRgeu/RyuBhutzOGED92ahGT8zlJaf/GBq4wtKNHhKV
e3U+/iL2+6rEwmkn8pFldxiWPXag0SQQksGTW5XBSDxY0o/5T0JDYkBYJGj4+KWXhe
HH/ZEFLoTP7ccSPOE272INDwFrEPJO5tjOzeNj41gmjhGjkso19zZE6Djjp1DE0K5o
qBTa6bL6XnC+g==

Received: from [10.233.18.189] ([10.233.18.189:38264])
by pc1udsmtn2n16 (envelope-from
<bounce-HP2v400000166e9d43679a7aadcf4bbcf6cc0167@mail.paypal.fr>)
(ecelerity 3.6.9.48312 r(Core:3.6.9.0)) with ECSTREAM
id 46/02-39817-D8FB1EB5; Tue, 06 Nov 2018 16:21:33 +0000
List-Unsubscribe: <mailto:bounce-HP2v400000166e9d43679a7aadcf4bbcf6cc0167@mail.paypal.fr?subject=list-unsubscribe>
Message-ID: <HP2v400000166e9d43679a7aadcf4bbcf6cc0167@mail.paypal.fr>
MIME-Version: 1.0
Feedback-ID: c29fbbeb-485b-4323-8830-d936403bd4c6:b4cad6e3-63d4-4776-bd51-33e0d8fe639a:email:epslh1 
X-NSS: c29fbbeb-485b-4323-8830-d936403bd4c6
Reply-To: "noreply@mail.paypal.fr"
<noreply-HP2v400000166e9d43679a7aadcf4bbcf6cc0167@mail.paypal.fr>

Subject: =?UTF-8?B?Q29uc3VsdGV6IGwnYWN0aXZpdMOpIGRlIHZvdHJlIGNvbXB0ZSBQYXlQYWw=?=
From: PayPal <paypal@mail.paypal.fr>
To: adressedemonclient@domainedemonclient.tld
Date: Tue, 6 Nov 2018 16:21:33 +0000
Content-Type: multipart/alternative;
boundary="-=Part.27b045c.1080592dc77ec3e5.166e9d43f6b.b9966009a17160b8=-"
X-PPP-Message-ID: <20181106162136.15520.26730@nomdemonserveur.tld>
X-PPP-Vhost: domainedemonclient.tld


J'ai mis en gras les infos qui sont correctes et qui font penser que Paypal a bien envoyé cet email.
J'ai mis en rouge/gras/souligné celles qui font que l'email parait ne pas venir de Paypal.
(Je n'ai pas fait de recherche sur les adresses IP des serveurs email de paypal, ça n'avait pas de sens et ça aurait été laborieux)

Donc on voit que: paypal envoie bien un email, le sender et le dkim sont OK; il y a un retour qui semble normal pour les bounces... mais mais mais !
Ces cons l'envoient avec un serveur qui n'est pas chez paypal ! Celui en rouge: mta106b.pmx1.epsl1.com
OK, c'est pas pire comme dirait nos amis d'Outre-Quiévrain.
Là où ça blesse c'est que le domaine epsl1.com ne correspond pas vraiment à une activité de Paypal... je vous invite à regarder ;-)
Bref, ils ont du confier l'envoi de leurs emails à une société annexe qui "force" certaines infos dans les entêtes du message afin de se faire passer (légalement) pour Paypal. C'est courant de faire passer des emails par d'autres serveurs mais en général ils ont plus connus et ils correspondent à qqe chose (genre sendinblue/mailjet/sparkpost...), là ça fait pas propre...


Mais là où ils sont très très cons c'est dans le corps de l'email.
Ils renvoient vers un lien qui est hors Paypal et qui a du être déclaré comme site malveillant ou douteux, et ça les logiciels antispam n'aiment pas:
https://epl.paypal-communication.com/............
Informatiquement parlant, il y a autant de différences entre paypal-communication.com et paypal.com qu'entre moi et l'archevêque de Canterburry (j'aime beaucoup l'archevêque de Canterburry :? )
En prime:
- si on tape bêtement paypal-communication.com dans gogole on tombe sur des suspicions de phishing
- si on le tape dans la barre d'adresse, on arrive nulle part...

Bref, ils passent en spam, les gens râlent et certains les balancent comme étant du phishing, donc ils perdent en e-reputation. Qd on s'appelle Paypal, c'est ballot...

Conclusion: mieux vaut faire du phishing bien fait que de l'emailing mal fait !
:oops:


Vous avez vu, il est très con mon boulot non ?
Speed 3 DLX 12m || Religion MK V à VI en 10.5/9/7 || Core Section 6 (ex Bozzo) || Pansh Genesis 6.5 || Fatal Kite 5.0 || Catch Kite 5'2 || Matata kite 5'2 ||
Et aussi: surfs, funboard, bodyboard, Sealion, MTBs... et des jumeaux (année modèle 2010).

Répondre