accueilSécuritéIncidents de sécuritéChronique d’incidents
 

Il vaut mieux bien connaître la géographie


Il s’agit d’un incident qui a réellement eu lieu. Les fautes dans les messages ont été conservées, seuls les noms et prénoms ont été changés. Un enseignant-chercheur a reçu un mèl d’une de ses étudiantes.

Echanges de mèls

De : madeleine martin <madeleine.martin@hotmail.fr>
Date : 30 juillet 2012 10:34:50 HAEC
À : madeleine <madeleine.martin@hotmail.fr>
Objet : Très Important !!!!!!

Bonjour, Ou est tu actuellement ? Je suis vraiment désolée de t’importuner de la sorte, mais j’espère que tu recevras mon mail a temps, car j’ai besoin de ton aide en Urgence !!, j’aimerais te parler d’une situation urgente en toute discrétion qui m’affecte en ce moment au sujet d’un voyage en Grèce , d’où je suis je n’ai pas accès au téléphone s’il te plait répond moi par mail le plus rapidement possible dès réception de ce message, afin que je puisse t’expliquer je ne sais plus quoi faire, Je compte sur ta discrétion totale. Merci d’avance en espérant que tu recevras mon appel. j’attends de tes nouvelles au plus vite.

Madeleine .

L’étudiante existe bien, l’adresse de l’expéditeur est bien la bonne. Cependant l’étudiante lui avait dit qu’elle partait en Afrique. Aussi, prudent, il n’a pas répondu directement au message mais a envoyé un message à l’adresse qu’il avait dans son carnet d’adresse.

De : Jean Schmidt <jean.schmidt@labo.univ.fr>
Date : 31 juillet 2012 02:43:52 HAEC
À : madeleine martin <madeleine.martin@hotmail.fr>
Objet : Rép : Re :

Bonsoir Madeleine,
M’avez écrit au sujet d’un voyage en Grèce et d’un problème demandant toute discretion ? Je vous croyais en Afrique !
Est-ce un spam, alors ?
Bien à vous
JS

Il a reçu en réponse le message suivant :

De : madeleine martin <madeleine.martin@hotmail.fr>
Date : 31 juillet 2012 03:02:57 HAEC
À : <jean.schmidt@labo.univ.fr>
Objet : URGENT : J’ai besoin de ton aide !!!!

ce n’est pas facile pour moi d’en parler mais tu me comprendrais très sûrement,promets-moi de garder le secret ; désolé je suis parti précipitamment avec une amie à Abidjan en cote d’ivoire pour réaliser un projet, c’est une ville de ce pays appelez Grèce . Malheureusement nous nous sommes fait agresser non loin de la sortie de notre hôtel à l’arme blanche, ils nous ont tous pris téléphone,argent...puis avons été abusées sexuellement,pourtant mon amie porte une grossesse de 2 mois et se retrouve dans le coma depuis hier entre la vie, la mort et risque de perde son enfant , car elle est grièvement blessée,moi j’ai été touchée superficiellement à l’abdomen et un à la tête, je souffre atrocement au bas-ventre,je ne veux pas mourir ni perdre mon amie. je viens à toi pour demander ton aide au plus vite avant que nous succombions de nos blessures,tu comprends donc pourquoi je demande ton silence, car je ne veux que quelqu’un apprenne que nous avons étés violées ici,c’est très honteux je te supplie me trahit pas. Les médecins refusent de nous soigner après les premiers soins car notre assurance voyage ne peut couvrir la totalité des frais ; j’ai contacter l’ambassade mais leur aide prendrait du temps a cause des procédures administratives,nous tiendrons pas tous ce temps, alors je te supplie du fond du cœur de me faire un prêt de 3000 Euro qui permettrait de régler les frais de soins. Je me suis renseigné au sein de l’hôpital comment recevoir cet argent dans l’immédiat,renseignement pris,envoie cet argent par une agence de transfert d’argent liquide et instantané western union que tu trouverais à tous les bureaux de poste à ce qu’il parait,a mon nom:Martin Madeleine, tu utiliseras cette adresse,Ville : Abidjan, Pays : Cote D’ivoire,Adresse : Cocody , rue des princes .. Une fois le transfert effectuer envoie-moi toutes les références permettant de retirer cet argent, je place ma confiance en toi et te remercie d’avance. Madeleine .

Analyse de l’incident

Évidemment c’était trop gros, l’arnaque était évidente et l’enseignant-chercheur n’a pas répondu. Il nous a transmis les échanges à titre d’exemple d’escroquerie par messagerie électronique.

Que s’est-il passé ? En regardant en détail les en-têtes du premier message reçu on s’aperçoit que le compte a été accédé à l’aide d’un webmail à partir d’une IP située en Côte-d’Ivoire.

X-Originating-IP : [66.77.88.99] (l’IP a été changée)

Évidemment le fait que le le destinataire apparent soit l’expéditeur n’est pas normal. C’est parfois utilisé lorsque l’on veut envoyer un message à une liste, en cachant les destinataires réels.

L’identifiant et le mot de passe a été très probablement récupérés lors d’une connexion à partir d’un cybercafé. Le niveau de sécurité dans ces cybercafés est extrêmement faible et un grand nombre de machines y comporte des logiciels espions qui récupèrent les frappes au clavier et par conséquent les mots de passe.

Le français employé, les circonstances décrites dans les messages doivent éveiller les soupçons. C’est ce qui s’est passé dans le cas présent. L’arnaqueur déstabilisé n’a su que faire une réponse manquant totalement de crédibilité.

Une recherche sur Google permet de trouver des messages qui ressemblent étrangement à celui-ci. Seuls quelques détails changent comme le pays (Mali par exemple), la somme demandée.

Quels enseignements en tirer ?

Face aux attaques par ingénierie sociale, la meilleure parade consiste à rester vigilant et conserver son sens critique. Dans le cas présent, le message est truffé de fautes, contient de nombreuses incohérences et perd tout crédibilité.

Il est trop dangereux aujourd’hui, pour consulter sa messagerie, d’utiliser un ordinateur que l’on ne maîtrise pas, comme celui dans un cybercafé. Si on ne peut l’éviter, il est préférable de créer un compte réservé à cet usage.

Nous constatons au CNRS une augmentation des arnaques par messagerie utilisant l’ingénierie sociale. Dans ce cas il s’agit de faire appel à la compassion mais nous avons vu aussi l’exploitation de la peur avec des messages d’un « tueur à gages » demandant de l’argent pour qu’il ne réalise pas son « contrat ».


l


ARESU
Direction des Systèmes d'Information du CNRS

358 rue P.-G. de Gennes
31676 LABEGE Cedex

Bâtiment 1,
1 Place Aristide Briand
92195 MEUDON Cedex



 

 

Direction des Systèmes d'Information

Pôle ARESU

Accueil Imprimer Plan du site Credits