Phishing CDiscount septembre 2016

Alors que je vous disais en début de semaine que le phishing faisait sa grande rentrée 2016 avec des opérations de tous les côtés, j’ai contiué d’en recevoir tous les jours dans ma boîtes mail ! J’ai donc décidé de vous proposer une série hebdomadaire qui est Spam Of The Week. On commence donc dès aujourd’hui avec un phishing Cdiscount.

Ce midi, j’ai reçu en doublon une tentative de phishing Cdiscount sur Outlook.com et le moins que l’on puisse dire, c’est que cette opération est plutôt grossière !

Une image en guise de kit mail

Pour tenter de faire fonctionner son spam, un ressort relativement simple a été utilisé : le jeu concours et le gain d’un iPad Air 2. Malheureusement, quand on connaît un peu Cdiscount, on se rend tout de suite compte que ce mail présente quelques anomalies :

  • Le mail n’est composé que d’une image;
  • Le kit email ne respecte pas la charte graphique Cdiscount;
  • Le logo Cdiscount est reproduit de manière particulièrement vulgaire;
  • Le mail ne présente aucune information personnelle;
  • Le numéro d’article est identique au numéro de produit;
  • Le mot colis est surligné.

Quoi qu’il en soit, le seul et unique objectif est de vous faire cliquer sur le kit pour vous renvoyer vers cette page de phishing :

copie-phishing-cdiscount

Comme vous pourrez le constater, cette page est une copie conforme, dans son ancien design, de la page de connexion de Cdiscount.com. De plus, elle laisse apparaître un jolie « Bonjour Allan » et un « Voir les offres à Villejuif Offres Locales »… Sachant que je ne suis ni connecté à mon compte Cdiscount, ni à Villejuif et encore moins prénommé Allan… Cette page ne laisse la place à aucun doute !

On peut néanmoins prendre quelques minutes pour rigoler un peu sur le fait que le pirate ait gentiment laisse le message Alerte sécurité ! traitant des risques de phishing !

Bref, aucun doute à voir, c’est bien une grossière tentative de phishing sur les clients Cdiscount.

Et techniquement dans tout ça ?

Techniquement, il n’y a pas grand chose à en tirer en dehors de quelques surprises ! Tout d’abord, ce mail est routé depuis l’adresse IP 212.227.17.10, une adresse 1&1 qui, au moment où j’écris ces quelques lignes, est inscrite sur 7 des 69 blacklists que l’on peut tester avec notre Email IP Blacklist Checker. Le message est ensuite relayée par les serveurs FR de 1&1 et l’adresse IP 87.106.96.20, elle même référencée sur 5 blacklists…

Pour cela, je tiens d’ailleurs tirer mon chapeau à Microsoft qui délivre en Inbox des messages routés par des IPs inscrites sur 7 blacklists. Il est tout de même relativement surprenant qu’un ESP comme Microsoft soit aussi permissif !

Mais ce n’est pas le seul point surprenant, en effet, dans l’analyse communiquée par Microsoft himself, cette adresse IP ne dispose ni d’enregistrement SPF conforme, ni de DKIM et si l’on ajoute à cela que le géant de Redmond est persuadé de recevoir un mail en provenance de auth.live.com, soit une adresse Microsoft :

header-cdiscount

Ces dernières semaines, les volumes de SPAM/Phishing ont connu une forte hausse chez cet acteur et il y a fort à parier que les spammeurs aient réussi à trouver une faille dans l’analyse des headers qui leur permet d’atteindre plus facilement les internautes…

Enfin, le site qui sert à finaliser ce phishing Cdiscount est en fait une injection de fichier sur un serveur qui sert à héberger le site néerlandais http://www.bcdn.nl/, un site pour mettre en avant un salon professionnel… Désolé si ce n’est pas l’activité exacte mais mon néerlandais est totalement inexistant.

Une chose est néanmoins certaine, Cdiscount est et restera encore pour très longtemps l’une des cibles préférés des hackers, un petit tour sur le Dark Net suffit à s’en rendre compte…

  1. probleme de phishing septembre 2016 sur c discount.
    mail recu de la part de C DISCOUNT  » vous avez gagniez un lot…….  » cliquez sur l adresse qui redirige directement sur mon compte perso C DISCOUNT;
    Malheureusement, voyant que j’étais sur mon compte perso, j ai accepté de régler les 9.95 e pour frais de transport et donc payé avec ma carte bleue. (donc tous les renseignements banque et adresse et telephone.
    aucun recu de paiement
    que va t il se passer pour moi.

    • Bonjour Milleville,
      A votre place, je prendrai contact avec ma banque pour faire opposition sur ma carte et la faire refaire… Et du côté de Cdiscount et de votre boîte email, je vous conseille de modifier les codes d’accès rapidement et enfin vérifier votre historique de commandes sur Cdiscount.

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *