Phishing durable: depuis plusieurs mois circule un mail inquiétant d’EDF, annonçant au consommateur que son « paiement à été refusée (sic) par votre établissement bancaire en raison d’un problème technique sur le système de prélèvement automatique. »

Tentative d’escroquerie
Pour qui n’a pas été alerté par la faute d’orthographe (et il y a à redire aussi sur la ponctuation, même si le mail est plutôt bien fichu), le courriel prend une allure d’injonction: « pour eviter re-sic) la pénalités (re-re-sic) de retard ,nous vous donnons la possibilité de payer en ligne en utilisant votre carte bancaire. » Suit un numéro de facture (facture N° FR78441012) ainsi qu’un lien sur lequel l’internaute est invité à cliquer. Faute de paiement, le faux EDF le menace de suspendre sa fourniture, précisant que « sera facturée. » On observera que le mail est « signé » par 

« Morald CHIBOUT – EDF,
Directeur de la Relation Clients
EDF Bleu Ciel  »

Morald Chibout ayant été efffectivement directeur marketing d’EDF, ce qu’une simple recherche sur google permet de vérifier, la « signature » ajoute à la crédibilité du mail.

(corrigé à 16h30, suite au commentaire d’Electro)

Ce mail frauduleux circule depuis au moins septembre 2012. Ainsi que d’autres versions (disponibles sur notre forum), comme celle-ci, dont le contenu (mais pas le but) diffère un peu:

« CHANGER L’ÉNERGIE ENSEMBLE
e D F

Votre Service Client

Bonjour ,

Suite a un probleme technique la transaction mensuelle a ete rejeté par votre etablissement . vous devez imperativement cliquer sur le lien regler votre statu .

Le montant vous sera prélevé conformément au rythme que vous avez effectue.

Service

Cordialement, »

Le site Zataz.com, recense « pas moins de 109 alertes, rien que pour la derniére semaine de décembre. » Le but de ces mails est de récupérer diverses informations: numéro de carte bancaire, RIB, adresse, n° de carte d’identité… On appelle cela du phishing ou « hameçonnage » – quai Conti.

——–
Mise en garde d’EDF
Sur son site, EDF (le vrai fournisseur EDF) précise que les coordonnées bancaires (numéro de compte, numéro de carte bancaire, cryptogramme) sont demandées « uniquement dans (l’) espace Client » et qu’ EDF « n’effectue jamais de relance par email suite à une facture impayée. » En outre, le fournisseur invite l’internaute à regarder précisément l’origine du mail (adresse e-mail complète de l’expéditeur), ainsi que l’adresse du site Internet dans la barre de navigation. Les URL d’EDF se terminent « toujours par : edf.fr ou edf.com. » La partie sécurisée du site d’EDF « commence par https:// suivi de monagence.edf.fr ou monagencepart.edf.fr et non pas par http. » Elle est identifiée par un cadenas, visible dans « les pages de formulaires ou de paiement en ligne. »

—-
Derrière le phishing
En cliquant sur le lien proposé, l’internaute n’arrive pas sur le site d’EDF mais un autre site, qui tentera de lui extorquer ses données personnelles. De quels sites s’agit-il?

Dans un mail reçu récemment, le lien pointe vers le site boutiq-fashion.net dont, précise whois-raynette.fr, le propriétaire se trouve en Suisse…

Sur Malwarecity.fr, un décryptage soigné de l’un de ces mails conduit au « Massachussetts (!), aux Etats-Unis » où le « site corrompu » est hébergé. Malwarecity observe qu’il s’agit d’un « clone parfait de la page utilisée par EDF pour son espace client particuliers ». L’arnaque est ensuite détaillée pas à pas. On commence par une simple authentification pour « ne pas brusquer le lecteur » et le mettre en confiance. « Vient ensuite le processus de vol à proprement parler », avec la liste détaillée « des grandes banques françaises, ce qui montre que l’attaque est bien localisée. Cette étape intermédiaire, avant la demande des coordonnées bancaires, contribue une nouvelle fois à la crédibilité de la requête : ce qui semble être un mécanisme poussé de vérification est au final une manière de pousser les victimes dans le piège en leur faisant oublier leurs éventuels doutes. »

Quant au site Zataz.com, il indique des failles de sécurité chez EDF, estimant que « l’ensemble des sous domaines edf.com, concernant les pages étrangères de l’opérateur d’énergie étaient vulnérables à des Cross-Site Scripting » mais aussi « les espaces Enseignants et EDF Recrute. »

Qu’est-ce donc qu’un Cross-site Scripting (XSS)? Zataz.com précise que cela « permet d’afficher n’importe quel message dans l’espace numérique visé. Un pirate peut aussi injecter un logiciel (trojan, virus…) dans la machine d’un visiteur ; ou de jouer avec un XSS backdoor (le pc ainsi infiltré se transforme en zombie, aux ordres du pirate, ndlr zataz.com). Il faut cependant que le pirate formule un url particulier, qu’il diffusera ensuite à ses cibles, via un courriel, un message sur un forum, un post, sur Facebook, Twitter… »

Si vous êtes victime d’une tentative de phishing, vous pouvez la signaler sur Internet-signalement.gouv.fr.