Hameçonnage

[Jac]

Bonjour,

Je viens d'envoyer ce message en réponse à un contributeur de
fr.rec.bricolage mais je pense qu'il fera plus joli ici :

-------------------

<cit>
Nous souhaitons vous informer qu'une pénalité de 35,00 euros, émise par
l'organisme chargé du traitement automatisé des infractions au niveau
national, présente actuellement un retard de règlement.
Nous vous rappelons que cette contravention a été émise en raison d'un
stationnement gênant.
Veuillez noter qu'une majoration de 135,00 euros sera appliquée si le
paiement n'est pas effectué dans les deux jours ouvrables.
Nous vous prions donc de régulariser cette situation dans les plus
brefs délais.
Numéro de référence de télépaiement : 8923618430.
</cit>

Mais ce qui m'intrigue en fait, c'est le domaine de l'expéditeur :
interieur.gouv.fr .
Comment peut-on avoir une adresse qui se termine par gouv.fr ?

Extrait des propriétés du message :

Delivered-To: j...@jacfr.fr
From: "ame...@interieur.gouv.fr" <ame...@interieur.gouv.fr>
Subject:
=?utf-8?q?info_=3A_Retard_De_T=C3=A9l=C3=A9paiement_-_22=3A18?=

Etc.

Je me perds en conjectures, comme on dit.

----------------

J'ai regardé l'adresse de la cible sur laquelle pointe le bouton
"PAYER" et ça m'envoie sur <https://ent-auvergnerhonealpes.com/> qui
n'a pas grand chose à voir avec le centre de paiement des amendes sans
doute (je n'y suis pas allé, j'ai juste fait "Copier le lien" sur le
bouton).

Merci de votre attention.

[Olivier Miakinen]

Le 02/10/2023 12:30, Jac a écrit :
>
> Mais ce qui m'intrigue en fait, c'est le domaine de l'expéditeur :
> interieur.gouv.fr .
> Comment peut-on avoir une adresse qui se termine par gouv.fr ?

Exactement de la même façon que tu peux avoir une adresse qui se termine
par jnj.com.invalid : en remplissant ce champ qui n'est vérifié par aucun
agent dans la transmission du courriel en SMTP.

> J'ai regardé l'adresse de la cible sur laquelle pointe le bouton
> "PAYER" et ça m'envoie sur <https://ent-auvergnerhonealpes.com/> qui
> n'a pas grand chose à voir avec le centre de paiement des amendes

Ben voilà. Le spammeur/hameçonneur a juste besoin d'avoir déposé ce
nom et d'y avoir créé son site d'hameçonnage. L'adresse en gouv.fr est
seulement là pour la frime.

--
Olivier Miakinen

[Jac]

Olivier Miakinen a utilisé son clavier pour écrire :

> Le 02/10/2023 12:30, Jac a écrit :
>>
>> Mais ce qui m'intrigue en fait, c'est le domaine de l'expéditeur :
>> interieur.gouv.fr .
>> Comment peut-on avoir une adresse qui se termine par gouv.fr ?
>
> Exactement de la même façon que tu peux avoir une adresse qui se termine
> par jnj.com.invalid : en remplissant ce champ qui n'est vérifié par aucun
> agent dans la transmission du courriel en SMTP.

En fait, cette adresse a vraiment existé mais je ne l'utilise plus
depuis que je suis parti de la société. Je l'ai gardée et invalidée des
fois que des anciens collègues me reconnaîtraient.

>
>> J'ai regardé l'adresse de la cible sur laquelle pointe le bouton
>> "PAYER" et ça m'envoie sur <https://ent-auvergnerhonealpes.com/> qui
>> n'a pas grand chose à voir avec le centre de paiement des amendes
>
> Ben voilà. Le spammeur/hameçonneur a juste besoin d'avoir déposé ce
> nom et d'y avoir créé son site d'hameçonnage. L'adresse en gouv.fr est
> seulement là pour la frime.

Oui, merci, je pensais qu'on ne pouvait pas utiliser le fameux gouv.fr.
J'ai fouiné un peu, c'est édifiant, quand on va sur le site sus-nommé,
on tombe sur la copie exacte du site de l'ANTAI et plus d'un doit se
faire prendre.

[pehache]

Le 02/10/2023 à 12:56, Olivier Miakinen a écrit :
> Le 02/10/2023 12:30, Jac a écrit :
>>
>> Mais ce qui m'intrigue en fait, c'est le domaine de l'expéditeur :
>> interieur.gouv.fr .
>> Comment peut-on avoir une adresse qui se termine par gouv.fr ?
>
> Exactement de la même façon que tu peux avoir une adresse qui se termine
> par jnj.com.invalid : en remplissant ce champ

oui

> qui n'est vérifié par aucun
> agent dans la transmission du courriel en SMTP.

Ce n'est pas tout à fait vrai. Certains serveurs SMTP exigent que le
domaine du From soit le même que son propre domaine, ou bien soit
"vérifié" (envoie d'un mail à l'adresse du From pour vérifier que
c'est bien une adresse gérée par l'expéditeur). Mais il facile de
trouver SMTP qui n'opère aucune vérification, ou de monter un serveur
SMTP soi-même.

Par contre à la réception, de plus en plus de fournisseurs de boîtes
mail (gmail par exemple) exigent que le domaine du From soit le même que
le domaine du serveur SMTP, ou bien que le domaine du From ait reçu une
délégation pour envoyer des mails au nom du domaine du serveur SMTP. Si
ce n'est pas le cas le mail entrant est refusé.

[Jac]

Jac a présenté l'énoncé suivant :

> En fait, cette adresse a vraiment existé mais je ne l'utilise plus depuis que
> je suis parti de la société. Je l'ai gardée et invalidée des fois que des
> anciens collègues me reconnaîtraient.

Ce qui s'est effectivement passé plusieurs fois sur frje ;o) .

[Thierry Pinelli]

Le 02/10/2023 à 12:56, Olivier Miakinen a écrit :

> Ben voilà. Le spammeur/hameçonneur a juste besoin d'avoir déposé ce
> nom et d'y avoir créé son site d'hameçonnage. L'adresse en gouv.fr est
> seulement là pour la frime.
>

non, elle est là pour faire "croire que" ....

[Thierry Pinelli]

Le 02/10/2023 à 12:30, Jac a écrit :

> Delivered-To: j...@jacfr.fr
> From: "ame...@interieur.gouv.fr" <ame...@interieur.gouv.fr>
> Subject: =?utf-8?q?info_=3A_Retard_De_T=C3=A9l=C3=A9paiement_-_22=3A18?=
>
> Etc.
>
> Je me perds en conjectures, comme on dit.
>
> ----------------
>
> J'ai regardé l'adresse de la cible sur laquelle pointe le bouton "PAYER"
> et ça m'envoie sur <https://ent-auvergnerhonealpes.com/> qui n'a pas
> grand chose à voir avec le centre de paiement des amendes sans doute (je
> n'y suis pas allé, j'ai juste fait "Copier le lien" sur le bouton).
>

on ne paye pas des amendes au Ministère de l'Interieur mais aux services
des Finances Publiques

https://www.amendes.gouv.fr/tai

bien lire

[Sergio]

Le 02/10/2023 à 12:30, Jac a écrit :

> Bonjour,
>
> Je viens d'envoyer ce message en réponse à un contributeur de fr.rec.bricolage mais je pense qu'il fera plus joli ici :
>
> -------------------
>
> <cit>
> Nous souhaitons vous informer qu'une pénalité de 35,00 euros, émise par l'organisme chargé du traitement automatisé des infractions au niveau national, présente actuellement un retard de règlement.
> Nous vous rappelons que cette contravention a été émise en raison d'un stationnement gênant.
> Veuillez noter qu'une majoration de 135,00 euros sera appliquée si le paiement n'est pas effectué dans les deux jours ouvrables.
> Nous vous prions donc de régulariser cette situation dans les plus brefs délais.
> Numéro de référence de télépaiement : 8923618430.
> </cit>
>
> Mais ce qui m'intrigue en fait, c'est le domaine de l'expéditeur :
> interieur.gouv.fr .
> Comment peut-on avoir une adresse qui se termine par gouv.fr ?
>
> Extrait des propriétés du message :
>
> Delivered-To: j...@jacfr.fr
> From: "ame...@interieur.gouv.fr" <ame...@interieur.gouv.fr>
> Subject: =?utf-8?q?info_=3A_Retard_De_T=C3=A9l=C3=A9paiement_-_22=3A18?=
>

1) as-tu une voiture ?
2) (si oui) as-tu renseigné ton e-mail quand tu l'as immatriculée ?
3) (si oui, oui) pense-tu avoir commis l’infraction ?
4) vérifie que le lien fourni pointe bien sur gouv.fr

--
Serge http://cahierdesergio.free.fr/
Soutenez le libre: http://www.framasoft.org

[Michel]

Le 2 octobre 2023 Jac a écrit :

> Comment peut-on avoir une adresse qui se termine par gouv.fr ?
>
> Extrait des propriétés du message :
>
> Delivered-To: j...@jacfr.fr
> From: "ame...@interieur.gouv.fr" <ame...@interieur.gouv.fr>

L'entête From: d'un mail est purement esthétique et peut d'ailleurs ne
pas exister. Il faut regarder la toute première ligne du mail (du contenu
complet) qui contient le vrai from. Et de toute façon il faut aussi
regarder les autres entêtes notamment Received: pour voir les
incohérences.

[Olivier Miakinen]

Le 02/10/2023 13:34, Thierry Pinelli a écrit :
>
>> Ben voilà. Le spammeur/hameçonneur a juste besoin d'avoir déposé ce
>> nom et d'y avoir créé son site d'hameçonnage. L'adresse en gouv.fr est
>> seulement là pour la frime.
>
> non, elle est là pour faire "croire que" ....

C'est ce que je voulais dire. Quoi qu'il en soit je suis d'accord.


--
Olivier Miakinen

[Olivier Miakinen]

Le 02/10/2023 15:39, Michel a écrit :
>
> L'entête From: d'un mail est purement esthétique

Oui.

> et peut d'ailleurs ne pas exister.

Bof. Dès le RFC 822 le champ From a toujours été obligatoire, et bien sûr
cette obligation est restée dans les RFC 2822 et 5322. Alors peut-être
que certains messages peuvent arriver sans des entêtes obligatoires, mais
en principe ça ne devrait pas.

> Il faut regarder la toute première ligne du mail (du contenu
> complet) qui contient le vrai from.

Quoi ? Merci de préciser ce que tu entends par là.


--
Olivier Miakinen

[Jac]

Sergio a formulé ce lundi :

> Le 02/10/2023 à 12:30, Jac a écrit :

>> Mais ce qui m'intrigue en fait, c'est le domaine de l'expéditeur :
>> interieur.gouv.fr .
>> Comment peut-on avoir une adresse qui se termine par gouv.fr ?

> 1) as-tu une voiture ?
> 2) (si oui) as-tu renseigné ton e-mail quand tu l'as immatriculée ?
> 3) (si oui, oui) pense-tu avoir commis l’infraction ?
> 4) vérifie que le lien fourni pointe bien sur gouv.fr

Merci :-) .

[Jac]

Olivier Miakinen vient de nous annoncer :

C'est le charcutier qui répond : je comprends qu'il s'agit de la ligne
"Return-Path".

[Olivier Miakinen]

Le 02/10/2023 16:27, Jac a écrit :
>
>>> Il faut regarder la toute première ligne du mail (du contenu
>>> complet) qui contient le vrai from.
>>
>> Quoi ? Merci de préciser ce que tu entends par là.
>
> C'est le charcutier qui répond : je comprends qu'il s'agit de la ligne
> "Return-Path".

Ah oui, celui qui est censé contenir le FROM d'enveloppe. C'est vrai qu'il a
moins de risques d'être trafiqué puisque les spammeurs n'ont pas tellement
besoin de le faire.


--
Olivier Miakinen

[Michel]

Le 2 octobre 2023 Olivier Miakinen a écrit :

> Bof. Dès le RFC 822 le champ From a toujours été obligatoire, et bien sûr
> cette obligation est restée dans les RFC 2822 et 5322. Alors peut-être
> que certains messages peuvent arriver sans des entêtes obligatoires, mais
> en principe ça ne devrait pas.

J'ai reçu assez récemment des mails sans. Gnus m'affichait un From:
bricolé. C'est d'ailleurs assez facile à créer avec un telnet. On voit
que le FROM obligatoire est celui de l'enveloppe, le reste fait partie du
corps du mail, donc sans vérification.

>> Il faut regarder la toute première ligne du mail (du contenu
>> complet) qui contient le vrai from.
>
> Quoi ? Merci de préciser ce que tu entends par là.

Je parle du contenu complet, parfois appelé source du mail, ou entêtes
cachées...
La toute première ligne normalement est positionnée avec le from de
l'enveloppe. Ca peut être une entête X-From-Line:, ou autre peut-être je
ne sais plus bien, positionné par le serveur de réception.

[Michel]

Le 2 octobre 2023 Jac a écrit :

>>> Il faut regarder la toute première ligne du mail (du contenu
>>> complet) qui contient le vrai from.
>>
>> Quoi ? Merci de préciser ce que tu entends par là.
>
> C'est le charcutier qui répond : je comprends qu'il s'agit de la ligne
> "Return-Path".

Non plus, le Return-Path peut aussi être forcé à autre chose. C'est
d'ailleurs assez fréquent pour les mailing lists qui veulent suivre à
part les bounces.

[Michel]

Le 2 octobre 2023 Jac a écrit :

>>> Il faut regarder la toute première ligne du mail (du contenu
>>> complet) qui contient le vrai from.
>>
>> Quoi ? Merci de préciser ce que tu entends par là.
>
> C'est le charcutier qui répond : je comprends qu'il s'agit de la ligne
> "Return-Path".

Mais bon tu as raison le Return-Path est positionné au from de
l'enveloppe par tout bon serveur de messagerie. Les spams et les mailing
lists montrent juste que ce champ ne doit pas être pris pour argent
comptant.

[pehache]

Le 02/10/2023 à 13:44, Sergio a écrit :

>
> 1) as-tu une voiture ?
> 2) (si oui) as-tu renseigné ton e-mail quand tu l'as immatriculée ?
> 3) (si oui, oui) pense-tu avoir commis l’infraction ?
> 4) vérifie que le lien fourni pointe bien sur gouv.fr

J'ai immatriculé les dernières voitures du foyer en ligne, donc avec
adresse email fournie.

Les quelques amendes qu'on a reçues sont toujours arrivées par courrier
physique, jamais par email ou par SMS.

[Olivier Miakinen]

Le 02/10/2023 19:25, Michel a écrit :
>
>> Bof. Dès le RFC 822 le champ From a toujours été obligatoire, et bien sûr
>> cette obligation est restée dans les RFC 2822 et 5322. Alors peut-être
>> que certains messages peuvent arriver sans des entêtes obligatoires, mais
>> en principe ça ne devrait pas.
>
> J'ai reçu assez récemment des mails sans. Gnus m'affichait un From:
> bricolé. C'est d'ailleurs assez facile à créer avec un telnet. On voit
> que le FROM obligatoire est celui de l'enveloppe, le reste fait partie du
> corps du mail, donc sans vérification.

Ok. Et donc le FROM d'enveloppe est celui qui est mis dans le champ Return-Path
et qui sert dans le cas d'un bounce. Mais ce n'est pas forcément l'adresse de
courriel de l'expéditeur initial non plus : dans le cas d'une mailing list,
cela peut être une adresse contenant une info concernant le destinataire.

>>> Il faut regarder la toute première ligne du mail (du contenu
>>> complet) qui contient le vrai from.
>>
>> Quoi ? Merci de préciser ce que tu entends par là.
>
> Je parle du contenu complet, parfois appelé source du mail, ou entêtes
> cachées...
> La toute première ligne normalement est positionnée avec le from de
> l'enveloppe. Ca peut être une entête X-From-Line:, ou autre peut-être je
> ne sais plus bien, positionné par le serveur de réception.

Dans le cas de mon courrier récupéré par POP avec Thunderbird, j'ai six
lignes ajoutées par Thunderbird avant la vraie première ligne qui est le
Return-Path.

Exemple d'un spam reçu, avec l'adresse du spammeur dans le Return-Path :
==========================================================================
From - Fri Sep 29 21:38:58 2023
X-Account-Key: account2
X-UIDL: 1695989054.P31686Q44.lmtp.galacsys.net
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:

Return-Path: <a...@arl.informom.coupons>
==========================================================================

Exemple d'un message reçu d'une mailing list, avec ma propre adresse codée
dans le Return-Path quel que soit le vrai expéditeur :
==========================================================================
From - Tue Oct 3 08:43:47 2023
X-Account-Key: account2
X-UIDL: 1696284589.P30336Q2.lmtp.galacsys.net
X-Mozilla-Status: 0011
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:

Return-Path: <lilypond-user-fr-bounces+om+lilypond=miakin...@gnu.org>
==========================================================================


--
Olivier Miakinen

[Olivier Miakinen]

Le 02/10/2023 19:28, Michel a écrit :
>
>>>> Il faut regarder la toute première ligne du mail (du contenu
>>>> complet) qui contient le vrai from.
>>>
>>> Quoi ? Merci de préciser ce que tu entends par là.
>>
>> C'est le charcutier qui répond : je comprends qu'il s'agit de la ligne
>> "Return-Path".
>
> Non plus,

Ah ?

> le Return-Path peut aussi être forcé à autre chose. C'est
> d'ailleurs assez fréquent pour les mailing lists qui veulent suivre à
> part les bounces.

Dans ce cas je ne sais pas quelle est cette « première ligne » à laquelle
tu fais allusion. Pour moi, la première ligne non ajoutée par Thunderbird
est le Return-Path. Et bien entendu Thunderbird ne pouvait rien savoir de
plus à propos du vrai expéditeur, et les six lignes ajoutées n'ont rien à
voir avec ça.


--
Olivier Miakinen

[Th.A.C]

Le 02/10/2023 à 12:30, Jac a écrit :

>

> ----------------
>
> J'ai regardé l'adresse de la cible sur laquelle pointe le bouton "PAYER"
> et ça m'envoie sur <https://ent-auvergnerhonealpes.com/> qui n'a pas
> grand chose à voir avec le centre de paiement des amendes sans doute (je
> n'y suis pas allé, j'ai juste fait "Copier le lien" sur le bouton).
>

ils ont simplement acheté un nom de domaine qui ressemble au site
officiel qui est en .fr et avec un '.' à la place du '_':
https://www.ent.auvergnerhonealpes.fr/

Après ca redirige vers le site ou ils vont tenter de faire payer...:
https://infraction-antai- r e g l e m e n t s . c o m/

[Jac]

Th.A.C a formulé la demande :

> Le 02/10/2023 à 12:30, Jac a écrit :
>
>>
>> ----------------
>>
>> J'ai regardé l'adresse de la cible sur laquelle pointe le bouton "PAYER" et
>> ça m'envoie sur <https://ent-auvergnerhonealpes.com/> qui n'a pas grand
>> chose à voir avec le centre de paiement des amendes sans doute (je n'y suis
>> pas allé, j'ai juste fait "Copier le lien" sur le bouton).
>>
>
> ils ont simplement acheté un nom de domaine qui ressemble au site officiel
> qui est en .fr et avec un '.' à la place du '_':
> https://www.ent.auvergnerhonealpes.fr/

Je ne comprends pas l'astuce de faire croire qu'on passe par cette
région !

> Après ca redirige vers le site ou ils vont tenter de faire payer...:
> https://infraction-antai- r e g l e m e n t s . c o m/

Oui, j'avais le temps et je suis allé jeter un oeil.
Merci.

[Olivier Miakinen]

Le 03/10/2023 14:23, je répondais à Michel :

>>>
>>> C'est le charcutier qui répond : je comprends qu'il s'agit de la ligne
>>> "Return-Path".
>>
>> Non plus,
>
> Ah ?
>
>> le Return-Path peut aussi être forcé à autre chose. C'est
>> d'ailleurs assez fréquent pour les mailing lists qui veulent suivre à
>> part les bounces.
>
> Dans ce cas je ne sais pas quelle est cette « première ligne » à laquelle
> tu fais allusion.

Et je suis toujours curieux de savoir à quoi tu pensais.

Tu as quelques exemples, spams ou non-spams ?


--
Olivier Miakinen

[Michel]

Le 9 octobre 2023 Olivier Miakinen a écrit :

>> Dans ce cas je ne sais pas quelle est cette « première ligne » à laquelle
>> tu fais allusion.
>
> Et je suis toujours curieux de savoir à quoi tu pensais.
>
> Tu as quelques exemples, spams ou non-spams ?

En fait je faisais assez confiance à un header X-From-Line. Mais il est
ajouté par Gnus en se basant sur le header From. D'autres messageries
ajoutent leurs propres headers, et sans doute sans plus de fiabilité :
les spammers peuvent changer le From et le Return-Path. Donc rien ne
remplace l'analyse des Received.

[Olivier Miakinen]

D'accord. Merci de l'explication.

D'expérience il me semble que le Return-Path est un peu moins souvent
forgé que le From, mais en effet tous les deux peuvent l'être.

--
Olivier Miakinen