23 mai 2005: première attaque de grande envergure sur 4 réseaux bancaires de premier plan

Des phishers apparement basés en Russie, ont réalisé un envoi massif de mails frauduleux à plusieurs centaines de milliers d'internautes français.

Le mail, rédigé en anglais et de qualité médiocre visait probablement à sonder le marché: en effet, en comparaison des mails de phishing qui circulent sur le web anglophone (USA et Grande Bretagne, la mise en page, le contenu et les techniques qui ont été utilisées n'était pas réellement soignés:

- d'une part, le mail perd en crédibilité parce qu'il est rédigé en anglais alors qu'il s'adresse à des français traditionnellement peu enclin à communiquer dans un autre langue que la leur sur le réseau, en particulier avec leur banque,

- d'autre part, le mail parlait de 4 banques simultanément, ce qui est susceptible d'éveiller la suspicion des destinataires,

- enfin, lorsqu'il l'internaute clique sur les liens présents dans il bascule sur un site 100% similaire à celui de la banque visée, mais la fenêtre (pop-up) qui s'ouvre au dessus de la homepage et qui permet aux phishers de récuperer les coordonnées bancaires de la victime est très peu soignée (elle ne respecte pas la charte graphique du site visé).

L'opération a vraissembablement était montée très rapidement, mais elle n'a probablement par obtenu des résultats importants. En admettant que le mail a été adressé à 1 million d'internautes, que 20% de ces derniers aient ouverts le mail (soit 200 000 personnes), il est peu probablement que plus de 1% des "cibles" aient cliqué (le taux de clic sur des emails de phishing bien conçus se situe dans une fourchette de 3% à 5%).

On peut donc imaginer que 2000 personnes ont donné leurs coordonnées. L'opération a donc pu rapporter 80 000 à 100 000 euros aux fraudeurs, qui prélèvent la plupart du temps de petites sommes afin que leur opération reste discrète et que la justice ne donne pas suite aux plaintes (en effet, pour les plaintes portant sur des délits de petits montants, les affaires sont, en général, classées, sans suite par la police).

Photo d'écran du mail envoyés aux victimes

Cette opération est peut-être en réalité, une opération de qualification de fichier à l'instar de ce qui se passe dans le marketing direct: elle visait peut être à savoir à quelle banque appartenait les victimes, à déterminer celles qui étaient les plus réceptives à ce type de message pour les "relancer" avec des mails cette fois-ci, mieux conçus, les fonds détournées par cette première opération permettant d'en financer d'autres.

On remarque un petit rafinement des fishers: si le lien apparent sur lequel on propose aux internautes de cliquer pointe vers les noms de domaines reels des sites bancaires attaqués, le lien réellement est le suivant:

http://www.google.fm/url?q=http://go.msn.com/HML/4/4.asp?target=http://9%09%33%628d%09%72t.DA%%%2e%%%52%%75/

Les pirates utilisent la version micronésienne de Google (Google.fm), pour appeler le site de Microsoft (MSN.COM) qui renvoient à son tour l'internaute vers le site des hackers: www.da.ru

L'intérêt de cette manoeuvre: brouiller les pistes et désorganiser les systèmes de protection anti phishing déjà en place chez les fournisseurs d'accès.

Le site russe www.da.ru est un site dédié au hacking...

Contactez Phishing.fr pour en savoir plus

Autres exemples de phishing: John Kerry 1 et John Kerry 2