Hier, j’ai reçu un texto d’un numéro inconnu. En l’ouvrant, j’avais un message qui me disait que mon compte TD était suspendu. Il donnait un lien à suivre pour retrouver l’accès à celui-ci. C’était évidemment une tentative d’hameçonnage, mais j’ai décidé de ne pas juste supprimer le message et plutôt de retracer la provenance de cette fraude.
Le numéro de téléphone
+1 (306) 900-2003. Une rapide recherche sur internet ne donne aucun résultat pour le numéro au complet. En revanche, 306 correspond à l’indicatif téléphonique régional de la province de la Saskatchewan au Canada. J’ai par la suite essayé d’appeler à ce numéro de téléphone. Résultat: Ça sonne « occupé ».
Le lien dans le SMS
La fin de ce lien correspond à mon numéro de téléphone. Le site https://ogo.gl/ qui correspond au début du lien nous amène sur un service web de raccourcissement d'URL personnalisé.
J’appuie sur le lien
Si j’appuie sur le lien du SMS, j’arrive alors sur ce qui ressemble à la page de connexion de la Banque TD. Excepté l’URL qui saute aux yeux, la page est relativement bien faite.
Voici d’ailleurs l’URL complète: https://70007t.tk/trst/start.php?fbclid=IwAR2oL5O2iVMUC0edEploAJIkQrOwI3WxQrpjsbB-QaZ9_V9gGWtt94iC_qs
J’ai donc inscrit 4 chiffres, une série de lettres au hasard et appuyé sur Login. Fait intéressant. Il m’apparaît alors un message d’erreur.
J’essaie donc de rentrer 4 séries de 4 chiffres comme une vraie carte, des lettres au hasard pour le mot de passe puis j’appuie de nouveau sur Login. Eh bien devinez quoi, cette fois ça fonctionne. Comme quoi, ils pensent à leurs affaires. J’arrive alors sur une page qui me dit d’attendre pendant qu’une barre bleue progresse.
Après environ 15 secondes, une autre page apparaît me disant qu’ils ont bien vérifié mon compte et que je vais automatiquement être redirigé vers mon compte.
Ce qui apparaît par la suite, c’est la page Facebook officielle de TD. Voici donc comment se passe cette attaque d’hameçonnage.
Ma petite enquête
J’ai commencé par me rendre sur le site https://whois.domaintools.com/ afin d’obtenir des renseignements. Voilà les informations qui ressortent.
On peut ainsi apprendre que les serveurs sont ceux de la compagnie américaine bien connue, Cloudflare. Pour ce qui est du « Registrant org », on apprend que c’est BV Dot TK. Une recherche sur internet me permet d’apprendre que c’est une compagnie privée fondée en 2001 basée à Amsterdam, aux Pays-Bas. La particularité de cette compagnie, elle offre la possibilité d’avoir un domaine « .tk » gratuitement. Si vous voulez en apprendre plus, c’est juste ici.
J’ai par la suite trouvé le site web de la compagnie http://www.dot.tk/fr/index.html. Sur celui-ci, on retrouve plusieurs sections, dont une qui se nomme « Report abuse ».
Je me rends donc sur celle-ci et je suis redirigé sur une page qui se trouve sur un autre site, freenom.com. Si on retourne aux résultats de notre WHOIS, on peut voir que le courriel pour abus et le courriel pour infraction de copyright finissent par @freenom.com; On est donc sur la bonne voie.
Vous devez vous douter de la suite, j’ai envoyé un courriel leur signifiant que des tentatives d’hameçonnage étaient effectuées à l’aide de leurs services et j’ai demandé si c’était possible d’intervenir. Voici la réponse que j’ai reçue.
Je suis allé vérifier ce matin et en effet, la page n’est plus accessible. On peut donc dire: mission accomplie!
