Arnaque, Spam et SFR

Publié le 30 décembre 2011 par Lecritducube
Me revoici avec une nouvelle arnaque. Cette fois, c'est du lourd. Elle fait même peur et je suis persuadé que beaucoup de personnes tomberont dans le panneau !
Je reçois ce matin un mail dont l'expéditeur est "suivi@sfr.fr". Deux raisons m'ont fait penser qu'il était louche :
  1. Je ne suis plus client SFR depuis 2 ans (ceci dit ils m'ont fait une relance il y a un mois et ne m'ont jamais remboursé la caution de ma Neufbox, tout est donc possible avec ces gens là...)
  2. Les mails envoyés depuis les services clients de sociétés comme SFR sont toujours envoyés depuis un compte no-reply@sfr.fr (ou ne-pas-repondre@sfr.fr). Sinon, imaginez le service clients, il serait plus que débordé (il l'est déjà) !

Dans 3 étapes, vous êtes ruiné ! 
Voici une copie du mail. La charte graphique est respectée. La signature du directeur du service client Dominique REMOND (qui existe vraiment) atteste de la soit-disant authenticité de l'acte. Tout est là.

Le titre du mail est excellent : "Prélèvement refusé le : 30/12/2011". Le mail est définitivement bien fait (malgré un français, une grammaire et une orthographe approximatifs). Il interpelle son destinataire ("vous nous devez des sous"). Le rassure (les logos). L'inquiète aussi ("si vous ne payez pas, ça va vous coûter chez"). Un lien propose de résoudre le problème et renvoie vers cette page qui demande vos codes clients SFR.

Là, j'ai rempli n'importe quoi (je ne m'appelle pas "Wesch"), et bien entendu, j'ai pu accéder à mon faux espace client :

Là aussi, j'ai rempli n'importe quoi. Mais qu'à cela ne tienne, ce ne sont pas ces informations là qui intéressent notre pirate !

Et voici. Bien sûr, le site est créé pour que vous remplissiez gentiment votre numéro de carte de crédit, sa date d'expiration et son cryptogramme visuel. En gros, le trio gagnant du shopping sur Internet !
Inutile de vous dire que je me suis arrêté là dans mon investigation !
Alors, qui se cache derrière tout ça ?
Ce système de piratage est extrêmement bien conçu. J'avoue, avec la digestion post fêtes de Noël, j'ai presque failli me faire avoir (pour tout vous dire, je me suis d'abord énervé sur SFR en me demandant quand, enfin, ils comprendraient que j'ai quitté leurs services...)
Pour trouver l'auteur, une piste efficace, quand on est pas un pro du hack comme moi, mais simplement un peu armé de bon sens : l'adresse d'hébergement du site.
Le faux site de SFR est hébergé sur http://sfr-suivi-enligne.simply-webspace.fr/espacev-client/xClientSFRetMobile/WebFactureId=F50800JK69NLM/sfr/facturation.php
L'adresse est bien tournée et on pourrait penser qu'on est bien chez SFR. Mais (merci à Eva, l'excellente développeuse de l'agence Web My Client is Rich, pour l'info), une URL se compose de plusieurs éléments et ici on décrypte facilement qu'on n'est pas chez SFR.
Ce qui compte, c'est http://sfr-suivi-enligne.simply-webspace.fr à savoir ce qu'il y a avant le point "sfr-suivi-enligne" (c'est à dire le sous domaine) et après le point "simply-webspace.fr" (le domaine, donc).
Nous ne sommes donc pas chez SFR !
Autre élément intéressant : le lien du mail. "Cliquez ici pour résoudre ce problème."
Si vous laissez votre souris dessus, vous noterez en bas à gauche de votre navigateur l'adresse vers laquel le pointe le lien. On y découvre http://rbalakrishnapillai.com/, un site qui lui même a été hacké par des mecs un peu balaizes en informatique et qui y ont placé leur logo (qu'ils ont lui-même vaguement hacké quelque part...)

Et voilà le travail.
Que faire quand je découvre une grosse arnaque comme ça ?
Trois solutions pour sauver le monde :
  1. Bien sûr, vous pouvez charitablement vous rendre sur le site de SFR et passer la moitié de la journée à tenter de trouver un numéro de téléphone ou une adresse mail à qui envoyer votre petite trouvaille.
  2. Vous pouvez aussi faire un article sur votre blog, si vous aimez bien écrire.
  3. Vous pouvez enfin, et c'est sans doute la meilleure option, envoyer une requête sur le site de Point de Contact dont le métier est de répertorier tout ce qu'il y a d'illicite ou de dégradant ou de frauduleux sur le Web (bon courage !) ou sur celui de Signal Spam, beaucoup plus orienté spam pour le coup (il suffit de copier coller le mail que vous avez reçu dans un champ, ou d'installer un plugin sur votre messagerie.

Et vous pouvez envoyer vos arnaques sur le blog de L'écrit du Cube qui se fera un plaisir de décrypter la source pour vous ; )
En tous cas, les commentaires sont là pour ça !