Autopsie d’une arnaque au mail (MAC)

arnaque mail
arnaque mail

Vous ou quelqu’un de votre entourage utilisez un Mac ou utilise une application Apple comme  iTunes  ? Cet article peut vous éviter de laisser vos identifiants de compte iTunes tomber entre les mains d’un voleur !!!
On dit que le Mac est bien utile face aux armées de virus qui se heurtent à l’entrée de notre machine, et retombent dans le flots numérique pour une course autour du web. Pourtant l’idée antique du cheval de Troyes trouve aujourd’hui encore dans ce cette astuce maintes fois éprouvée une ouverture possible. En effet, si vous ne pouvez pénétrer dans un lieu, le mieux est que ce lieu vous y invite !

C’est exactement ce qu’on tenté de faire des petits malins en m’envoyant un mail. Bon, bien sur aussitôt vu, aussitôt pigé l’arnaque, surtout que mon compte Apple n’est pas sur la boite mail ou j’ai reçu ce message 😉 . Mais certains et surtout les nouveaux mac-users pourraient s’y laisser prendre. Voyons de plus près de quoi il s’agit !

Le mail bidon :

Faux mail de Apple
Faux mail de Apple

Pourquoi bidon même si on ne connaît pas bien Apple ?

Et bien les fautes d’orthographe ! Heureusement que ces minables sont limités à ce niveau 🙂 :

La deuxième ligne se termine par une virgule, la suivante commence par une majuscule  (WTF ?). Puis « identitée » ….  » courriere électronique » … Bref, impossible que ce soit officiel, ce sont des pommes, pas des poires tout de même !

Allons plus loin, je n’ai pas fais gaffe, je clique et je me retrouve sur une page de connexion ( évidemment) :

Le jeu des sept différences, vous connaissez ?

Comparez la page de connexion officielle iTunes  puis en dessous la bidon :

phishing sur mac
phishing sur mac (cliquer pour agrandir l’image)

On pourrait bien sûr s’arrêter ici, mais admettons, je suis vraiment tête en l’air, ni l’orthographe, ni l’absence du cadenas, ni l’url différente ne m’ont sauté aux yeux, mais j’ai encore un doute, je voudrais savoir d’ou vient cette page ?

Du côté du script :

code source Apple et son faux
code source Apple et son faux (cliquez pour agrandir).

Bon, et bien pas besoin de décortiquer on voit sur le script de gauche (le faux) que la page iTunes Connect est en fait un simple script (index.php) hébergé au Royaumes Unis. Le script de droite (l’officiel) nous affiche un fichier iTunesconnect.woa ! Cette extension est une création de Apple, WebObjects Application conçue en fait pour compacter différents types de fichiers pour en faire une application de type Java. C’est un peu compliqué à mettre en place pour un simple script qui n’attend que mon identifiant et mon mot de passe, pour ensuite profiter de mon compte comme bon lui semble.

On peut lire dans « emplacement »  à droite de chaque page que l’url est bien différente, l’une va effectivement chez Apple (à droite) l’autre, dans un traquenard (à gauche), puis la ligne du dessous  » chemin » —> Shéma, celle de droite est en https, pas celle de gauche. Et si on continue « Hôte & « Chemin », celle de droite reste bien chez Apple, celle de gauche, dans le mur. Enfin, le nombre de fichiers le script de Apple nous annonce 38 ressources, celui de ncdsw n’en n’affiche que 16 …

En conclusion :

site hôte du hacker
site hôte du hacker

Je me suis donc demandé, mais, qui se cache derrière ncdsw ? Et là, surprise, il s’agit d’un site pour personnes veuves, divorcées ou séparées que je ne vous invite pas à visiter car il peut y avoir un risque de vous faire hameçonner. Je suspecte en fait un Hacker de s’être introduit dans ce site modeste devenu porteur saint (ou conçu pour) et pas très pro, d’avoir de ce fait accès a la totalité des fichiers. De là, il a installé dans l’arborescence de ce site presque amateur ses propres fichiers ( un dossier probablement nommé  » Jotform » installé en douce dans le répertoire).

Le hacker n’a qu’à soit attendre une redirection des scripts vers une boite mail anonyme dès que les victimes remplissent cette fausse page iTunes, soit, de se rendre régulièrement dans le site infecté et relever le courrier si c’est un amateur !

Pour aller plus loin :

Sachez q’un mail d’Apple qui ne se termine pas par  « @apple.com« , est obligatoirement un faux, tout simplement !

Quelques conseils d’Apple au sujet de Comment reconnaitre un VRAI message de Apple ?

Partagez cet article pour vos amis Mac users !!!!

Publicités

2 commentaires Ajouter un commentaire

  1. marc bourbon dit :

    j’ai eu un mail de ce genre, je l’ai de suite envoyé au fond de ma poubelle

    J'aime

    1. Steve dit :

      C’est la meilleure chose à faire !!
      Mais la signaler comme spam peut aussi aider à enrayer ces mails.
      Lorsqu une messagerie reçoit un mail en tant que spam, elle peut prévenir d’autres utilisateurs qui reçoivent ce message qu il peut s’agir d un spam !!!

      J'aime

Vous souhaitez réagir à cet article ? Ça tombe bien, vous pouvez le Faire ici !

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s