Lors d’un précédent article, j’analysais un email de fishing. Ce dimanche, j’ai reçu une nouvelle tentative de fishing, par SMS cette fois. C’est parti pour une petite analyse!
Je ne maîtrise malheureusement pas suffisamment le néerlandais pour savoir si la forme du message est plus ou moins crédible. Néanmoins, une proposition de remboursement de 89,74€ est alléchante…
Une recherche sur le numéro de téléphone (0499 xx xx xx) ne donne pas beaucoup de résultats, mais ceux-ci invitent déjà à la méfiance. Certains sites répertorient les numéros de téléphone suspects, et rassemblent les commentaires des utilisateurs. Cependant c’est à double tranchant: certains pirates n’hésitent pas à faire appel à inonder ces sites de faux commentaires positifs attestant du fait que le numéro est parfaitement valide et sans aucune intention frauduleuse 😉
Comme dans l’article précédent, procédons par ordre:
- analyse du nom de domaine
- analyse du site web et de sources
Nom de domaine
le nom de domaine dans notre cas est financiel-belgie.digital
Il ne ressemble pas à un nom de domaine que l’on pourrait attendre d’un organisme fédéral belge (domaine belgium.be)
J’en profitee pour donner une rapide explication sur les noms de domaine. Si vous regardez les deux noms de domaine suivant, lequel vous parait légitime?
- finances.belgium.be
- belgium.finance.be
Un nom de domaine se lit de droite à gauche, du plus général au plus spécifique. Le site légitime est le premier: dans le domaine BE, sous-domaine BELGIUM, sous-domaine FINANCE.
Les pirates tirent parti de la méconnaissance de la structure des noms de domaine: il est impossible pour quelqu’un qui ne possède pas le nom de domaine belgium.be de créer et gérer un sous-domaine finances.belgium.be. Le domaine finance.belgium.be appartient donc sans conteste à belgium.be.
Par contre n’importe qui peut acheter le domaine finances.be et y créer le sous-domaine belgium.finances.be!
l’analyse du nom de domaine via whois et l’analyse du certificat HTTPS ne nous apprennent pas grand chose, mis à part que le nom de domaine semble avoir été enregistré en Islande et que le site semble hébergé en Allemagne.
Analyse du site
encore une fois, la sécurité d’abord 😉 J’utilise donc une machine virtuelle pour me connecter au site. cette fois bonne surprise, le site existe toujours!
Me voici donc sur le site. Tout est fait pour me rassurer, les liens « conditions générales » (Algemene voorwarden) et le lien vlaanderen.be pointent réellement sur le site vlaanderen.be
J’accepte donc les conditions, rassuré par le fait qu’ils prétendent eux-mêmes que la plateforme est très bien sécurisée (zeer goed beveiligd)
Je tombe ensuite sur un page qui ressemble fort aux pages officielles que l’on peut trouver sur le site officiel https://financien.belgium.be/nl
La plupart des liens (langues, icône « home ») ne fonctionnent pas, mais les liens vers les institutions bancaires semblent fonctionner.
Un indice suspect: comment ce fait-il que le site connaisse déjà le montant à me rembourser? 😉
Lorsque je clique sur une des banques, un écran tout à fait crédible m’invite à entrer mes coordonnées bancaires.
Au prochain épisode, analyse de ce qui se passe quand je remplis mes coordonnées (fictives)…