Phishing ciblant les clients de la banque BNP Paribas (19/03/06)

Une nouvelle escroquerie par phishing a lieu depuis le 19/03/06, ciblant les clients de la banque BNP Paribas. Elle se présente sous la forme d'un courrier électronique en français prétendument envoyé par la banque et utilisant plusieurs techniques pour tenter de contourner les filtres antispam et antiphishing :

Sous prétexte de travaux destinés à améliorer la qualité du service, le message demande à l'internaute de cliquer sur un lien hypertexte et d'entrer ses codes d'accès au service bancaire en ligne. Il ne faut pas cliquer sur le lien concerné, car il ne conduit pas au site de la banque mais à une copie contrôlée par un individu malveillant :

Le lien hypertexte présent dans le code source du message n'est pas celui visible par l'utilisateur mais un lien similaire (www.secure.bnpparibas.net.banque.xxx.cc/xxx au lieu de www.secure.bnpparibas.net/xxx/xxx). Il ne faut surtout pas fournir les renseignements demandés, qui seraient alors transmis à l'auteur du phishing.

L'individu malveillant à l'origine de ce message utilise plusieurs techniques pour continuer à opérer le plus longtemps possible, en tentant d'éviter le blocage de ses courriels par les filtres antispam ou la censure du faux site de banque. Le texte rédigé à l'attention des clients de la banque est en fait une image, accompagnée d'un texte variable caché dans le code source du message. Le titre et l'expéditeur sont également variables.

Quelques titres de message :

• BNP PARIBAS: UN IMPORTANT MESSAGE [Sun, 19 Mar 2006 21:08:20 -0800]
• Une importante lettre [Mon, 20 Mar 2006 09:36:57 +0200]
• UNE IMPORTANTE INFORMATION [Mon, 20 Mar 2006 02:28:24 -0800]
• L'INFORMATION OFFICIELLE [Mon, 20 Mar 2006 12:13:05 +0600]
• LE MESSAGE URGENT

Quelques expéditeurs (adresses usurpées ne correspondant pas à l'expéditeur réel) :

• BNPparibas.net <operate_ref83037597221@bnpparibas.net>
• BNP PARIBAS <customersupport-738611@bnpparibas.net>
• BNPparibas <supprefnum8812954838@bnpparibas.net>
• BNP paribas <customersupport_25651@bnpparibas.net>
• BNP paribas 2006 <support_reference1207135@bnpparibas.net>

Quelques textes cachés, apparement extraits du roman "Misery" de Stephen King (textes en blanc sur blanc visibles uniquement dans le code source HTML du message) :

• He tore out the single match. ceylon acton "I'll turn in after awhile.
  If you think that means I was out any number of times, go on and fill in the blank! "Colter said eagerly. He rolled down the hall toward the bedroom door, gaining speed. Tell the goddam truth. Blood squirted from the Lawnboy's grass-exhaust in an amazing jet. "Her face wrinkled, and for a moment she looked as she had when she had imitated the sound the pig made. Daniel could say, for instance: "Luckily, Careless had his Winchester with him and plenty of ammo. distributive
• Paul groped on the knickknack table, knocking figurine over. ahem despise But in the end what she might miss in here or find in his room hardly mattered.
  Paul crawled over to his bed, pulling himself on his elbows, and got hold of the coverlet. ""That's fine. Up at seven. Do you get me? the terminally ill. "He released his hold cautiously and allowed himself to fall back on the mattress. Along with dirty birdie and fiddle-de-foof and all the others which I'm sure will come up in time. breakage
• "Had he once thought of her as the perfect audience? awn banana "Paul?
  So his mouth dropped open and he was frankly and honestly flabbergasted when she said: "It's not right. ""They're gone, Annie. "Have you got money in the bank? I almost went off twice. Remember E-H's mom is starting to look like a maj. "She walked back to the door and turned again, and he screamed again when she did, in anticipation of another bull-like charge, and that made her grin more widely. Another side-effect, a rather more serious one, was respiratory depression in sensitive patients. bookie
• She's crazy! accession dishevel
  "Paul shouted. He heard a noise behind him and turned from the blank screen to see Annie coming out of the kitchen dressed in jeans and a red flannel logger's shirt, the chainsaw in her hands. Ice-cream had dried or was drying in many of the bowls and soup dishes. "How many times were you out in all? They took you all the way to Denver, and we know you did it! She filled in n s tirelessly as Paul finished Chapters 9 and 10. Sometimes it was a car with no brakes, sometimes poison gas, sometimes electricity. Daniel could say, for instance: "Luckily, Careless had his Winchester with him and plenty of ammo. brotherhood
• That's how come I'm able to maintain homes in both New York and L. classification appropriate "she asked again.
  These wretched musings were interrupted by a harsh, half-superstitious gasp from Hezekiah In Misery's Child the doctor never came. Jesus. Paul was seized by a sudden fit of shivering. "Remember, Paul. It sounds as if she were still alive down there and tryin»to work her way back up to the land of the livin'! We think we know so much, but we really don't know any more than a rat in a trap — a rat with a broken back that thinks it still wants to live. bulge

Hébergé en Corée du Sud et en Bulgarie, le faux site est accessible via plusieurs noms de domaine, plusieurs adresses IP et plusieurs serveurs différents. Quelques adresses (pages non sûres à ne pas visiter) :

• www.secure.bnpparibas.net.banque.dllinfo.tv/r1/bn/
• www.secure.bnpparibas.net.banque.confproc.cc/r1/bn/
• www.secure.bnpparibas.net.banque.dllinfo.cc/r1/bn/

L'usurpation d'identité étant relativement aisée via le courrier électronique classique, il faut prendre l'habitude de ne jamais donner suite à un message non sollicité demandant au destinataire de fournir des données sensibles ou confidentielles, même s'il semble provenir d'un expéditeur connu.

INFORMATIONS COMPLEMENTAIRES :
-> Mise en garde de la banque BNP Paribas
-> FAQ : qu'est-ce que le phishing?
-> FAQ : que faire en cas de phishing?
-> Abonnement gratuit à la lettre Secuser Info pour être informé par courriel des prochaines alertes
-> Identifier les hoax et faux messages avec Hoaxkiller.fr