Escroquerie envers clients SFR

De nombreux escrocs pullulent sur Internet pour tenter d’intercepter vos données de Carte Bancaire. Dans le jargon internet, on appel cela le « pishing« .  Les techniques s’affinent de mieux en mieux, et si l’on n’est pas vigilent même une personne habituée à tous ces rouages néfastes d’internet peut s’y laisser prendre.

Cela a faillit être mon cas récemment après avoir reçu un email se faisant passer pour SFR, et me signalant qu’un incident avait empêché le prélèvement de ma dernière facture. J’utilise un téléphone fonctionnant avec cet opérateur, je n’ai donc pas immédiatement vu la supercherie. Je précise par ailleurs que, le courrier email est écrit de façon à ce que non seulement les détenteurs de téléphone SFR se fassent berner, mais aussi ceux qui posséderaient une NEUFBOX de SFR.

Voici une copie de cet email dont vous devez vous méfiez si par malheur vous le receviez :

Comment reconnaître que cet email est frauduleux ??

_ Tout d’abord l’auteur de ce courrier a laissé traîner une toute petite erreur, insignifiante et qui constitue pourtant déjà un indice.

En passant le curseur de votre souris sur l’image SFR en haut à gauche, un texte apparaît. Visiblement il manque une lettre dans le premier mot, mais on devine aisément de quoi il s’agit : « Crédit Agricole » !! On peut donc déjà supposer que ce document est issu de la modification d’un ancien document, qui lui visait à escroquer les clients de cette banque …

 

_ Continuons : nous passons à présent le curseur de notre souris au-dessus du texte « Cliquez ici« , mais sans cliquer dessus comme indiqué. Selon votre navigateur et sa version (firefox, internet explorer, google chrome, safari, …) vous verrez ou non apparaître un autre texte dessous ou en bas de votre écran, correspondant au « lien internet » vers lequel pointe ce texte. Sinon, la plupart du temps avec un clique droit (toujours au-dessus du texte « Cliquez ici« ), vous devez avoir un menu déroulant vous proposant l’action « Copier l’adresse du lien ». Dans le cas de notre email frauduleux, celui-ci veut nous rediriger vers la page :

http://neufboxeservice.altervista.org/client/sfr.fr/connexion/loginAction.action.php?cmd=login&forwardUrl=https%3A%2F%2Fmoncompte.neuf.fr%2Fmoncompte-webapp%2Fmoncompte%2FgererOffre%2FgererOffre.action%3FidSso%3D%23%23SSOID%23%23&appId=ABONNESNEUF60b77658c1a12c0b81f31a12a731e19160b77658c1a12c0b81f31a12a731e191

(ATTENTION : je rappel, ne rentrez jamais vos coordonnées de CB sur cette page !!)

Le second indice, mais qui nécessite bien sur des connaissances un peu plus avancées en informatique, est l’écriture de cette adresse de lien. Elle est très longue, mais seul le début nous intéresse : http://neufboxeservice.altervista.org

Que pouvons nous en dire ?

– Que le site web nous dirige vers un domaine de premier niveau appelé « .org », ce qui nous en fait un troisième indice. En effet la société SFR se contact sur internet avec une adresse en « www.sfr.fr » en métropole et « www.sfr.re » à La Réunion. Autrement dit, cette société est enregistrée sur les domaines « .fr » et domaine « .re » et non sur le domaine « .org » !!!

– Que le site web nous dirige vers un domaine de second niveau appelé « .altervista », ce qui nous en fait un quatrième indice. En effet, comme dit juste avant, la société SFR se contact sur internet avec un domaine de second niveau « sfr » (dans sfr.fr ou sfr.re) et non sur « altervista » !!!

– Que le site web nous dirige vers un sous-domaine « neufboxeservice », qui n’a d’autre vocation que de nous faire écran de fumée, car ce qui importe n’est pas le sous domaine, mais les domaines de premier et second niveau. En d’autre terme, si l’adresse avait été « demosophie.altervista.org » ou encore « presidentielle.altervista.org », vous êtes dans ces deux cas toujours chez « altervista ». Rappelez-vous qu’une adresse internet se lit de droite à gauche et non de gauche à droite.

– Enfin pour finir, ouvrez à présent une autre page internet, et allez chez un prestataire de requête whois. Vous ne savez pas où allez ? Bon allez par exemple sur la page « http://whois.domaintools.com/« . Dans le champs « Lookup » entrez le domaine de second niveau suspect « altervista », comme ceci :

et enfin cliquez sur le bouton « lookup ». Voici les informations que nous pouvons lire :

Domain ID:D49746541-LROR
Domain Name:ALTERVISTA.ORG
Created On:22-Dec-2000 18:05:39 UTC
Last Updated On:22-Aug-2011 14:39:09 UTC
Expiration Date:22-Dec-2015 18:05:39 UTC
Sponsoring Registrar:Tucows Inc. (R11-LROR)
Status:CLIENT TRANSFER PROHIBITED
Status:CLIENT UPDATE PROHIBITED
Registrant ID:tuH0UUWJ9YfhgJEC
Registrant Name:Gianluca Danesin
Registrant Organization:Banzai Media S.R.L.
Registrant Street1:Via G.B. Vico 42
Registrant Street2:
Registrant Street3:
Registrant City:Milano
Registrant State/Province:MI
Registrant Postal Code:20123
Registrant Country:IT
Registrant Phone:+39.0289631293
Registrant Phone Ext.:
Registrant FAX:+39.0289631298
Registrant FAX Ext.:
Registrant Email : abuse_rs@altervista.it

En clair : le propriétaire du site est un certain « Gianluca Danesin« , travaillant pour une société du nom de « Banzai Media S.R.L.« , se situant dans la ville de « Milan » (Milano) … en Italie !

Si vous avez maintenant compris comment faire des vérifications sur la validité d’une page internet, et pour forger votre propre expérience, vous pouvez par exemple faire cette ultime vérification :

– allez sur le site français suivant : AFNIC

– faites une recherche avec le terme « sfr » , et pensez à sélectionner sur la même ligne l’option « .re »

– cliquez enfin sur le bouton « Rechercher »

Il ne vous restes plus qu’à constater que les informations affichées sont bien plus crédibles …

 

Publicités