J’ai subi il y a quelques semaines une tentative d’hameçonnage complexe et bien réalisée via Twitter. J’ai voulu l’analyser, comprendre pourquoi ça n’a pas fonctionné, et comment l’attaquant avait pu faire pour y parvenir…

D’abord, il faut vous expliquer le contexte.

En voyage à Lisbonne, lors du retour, notre vol Easyjet a été annulé une heure avant le départ, sans possibilité d’autres vols ‘utilisables’ pour nous, via Easyjet. Vous l’imaginez, contexte compliqué et urgence le tout installés dans le hall de l’aéroport avec nos téléphones portables.

Nous ne savions pas comment rentrer, où dormir le soir, et comment récupérer notre véhicule resté à Paris.

Easyjet a pris en charge tous nos frais exceptionnels très rapidement. Bravo et merci à eux. Le service service client est très loin d’être parfait, mais il faut l’avouer, c’est déjà bien de leur part et ils ont été très réactifs sur le remboursement.
Avoir un problème est toujours possible, le réparer rapidement est essentiel, encore bravo à eux.
Easyjet n’est en rien responsable de cette tentative de phishing, au contraire grâce à eux, le pire est évité.

Retour en arrière, récit des événements :

Nous sommes Vendredi soir, le vol retour est annulé. A Lisbonne, pas de comptoir EasyJet, aucun employé concerné par le fait que nous ne sachions pas quoi faire avec nos deux enfants. Nous cherchons donc un vol retour et un hôtel pour le soir. Livré à nous-même, sans information de la compagnie aérienne, n’arrivant pas à joindre Easyjet (le service client est saturé), j’utilise twitter pour les interpeller (il est 22h) et je pose un tag @Easyjet.

Bingo, un community manager répond, et m’indique de passer en message privé. Il me demande de donner mon téléphone pour qu’un conseiller puisse me contacter. Ce que je fais. Il est alors minuit.

En message privé, j’indique mon téléphone portable. J’attends un retour, avec l’impression qu’une personne, quelque part, se sent concerné… Les heures passent…

Concerné ? Oui, mais pas vraiment.

13h59, un signe de vie d’Easyjet par un message What’s app. Normal, j’ai donné mon portable en message privé Twitter au community manager. Nous sommes alors toujours à Lisbonne, mais nous gérons par nous-même: nous avons un vol retour avec Vueling le soir (qui coute un bras), et nous avons passé la nuit dans un hôtel du centre-ville.

Donc, Mohammed d’easyjet est sympa, il m’indique qu’il va prendre en charge nos dépenses, mais que nous ferons les démarches une fois à Paris, donc inutile de discuter, je dois le contacter le lendemain, depuis chez moi.

Ok, simple et logique, pour me rembourser, il faut que j’ai toutes les dépenses (hôtel, repas, taxi, parking…). Je rentre donc et j’attends le dimanche pour le contacter.

La, ça se complique…

Le Dimanche, je contacte donc Mohammed. Nous avons la discussion suivante :

A ce stade, tranquillement chez moi, plusieurs alertes se déclenchent suite à cette discussion :

  1. Comment va t’il faire le lien entre ma réservation et ce chat What’s app ? Je ne suis pas la personne ayant réservé les billets. Ce n’est pas cohérent.
  2. Installer une application ? Pourquoi, ils ont déjà mes infos pour me créditer, j’ai payé mes 4 billets… Ce n’est pas cohérent.
  3. Le lien de l’application Apple… Qui en plus me demande mon numéro de CB… Je pense qu’Easyjet à des clients qui ne sont pas sur Apple. Ce n’est pas cohérent d’utiliser une app uniquement Apple… Pas très pro.
  4. Il me demande ce qu’il doit me rembourser… Etonnant comme comportement. Ce n’est pas cohérent.

Je suis donc méfiant, la réponse manque de cohérence. Je décide de faire des vérifications :

  • Vérifier si l’application « Remitly » à une bonne réputation. C’est le cas, mais elle semble plutôt utilisée pour des virements à l’étranger, pas très pro, sans traçabilités. Je n’ai pas confiance.
  • Vérifier auprès du community manager si c’est un processus ‘normal’. Je fais donc un message twitter avec une capture d’écran.
  • Vérifier le préfixe du numéro, ce que je n’ai pas fait lors de mon voyage à Lisbonne, dans le feu de l’action, je n’ai pas pensé à vérifier.

Bingo, le préfixe +254 est le préfixe du Kenya… Étonnant d’avoir un appel d’Easyjet du Kenya, ça confirme que ce message est suspect. Pour le vérifier, une simple recherche Google :

Pour confirmer, j’ai une réponse du community manager, très réactif, est très claire (plus que pour m’aider, il faut l’avouer):

Ok, c’est donc clairement un hameçonnage évolué.

Vous comprenez bien. Ces personnes surveillaient twitter, probablement sur le tag @easyjet. Ils ont alors recherché mes informations (nom, prénom, téléphone portable), puis m’ont contacté en se faisant passer pour EasyJet. L’objectif était très probablement le vol de données bancaire.

De bons réflexes

Je suis donc content d’avoir eu 4 réflexes :

  1. Ne pas donner de numéro ou réagir dans la précipitation (la procrastination est une bonne chôse… parfois). Lors d’un hameçonnage, votre interlocuteur va souvent vous demander d’aller vite pour vous éviter de réfléchir.
  2. J’ai eu un doute, et j’ai vérifié via une source connue la référence de l’interlocuteur (téléphonez à votre banque, ou à une autorité de référence, dans mon cas, le community manager Easyjet).
  3. Je me suis Méfié des que le message m’a demandé de ne pas suivre un processus normal. Dans mon cas, l’installation d’une application apple pour me rembourser. Ce n’est pas dans la logique des choses, ça semble étrange.
  4. Enfin, si c’est un contact par email, vérifiez le nom de domaine du mail, et par téléphone, vérifiez le préfixe et cherchez le numéro sur internet (parfois vous trouverez le numéro marqué comme ‘arnaque’). J’ai vérifié le préfixe pour constater que l’origine était le Kenya.

Comment un intru a-t-il pu, de mon pseudo Twitter, obtenir mes infos persos ? Est-ce simple ?

Oui… C’est très très simple.

Comment faire ?

C’est tellement simple que j’ai pu réaliser l’opération en trente minutes en partant de zéro. Je ne vais bien sùr pas donner les sites ici pour ne pas générer de mauvaises vocations, mais sachez que j’ai dû utiliser simplement une recherche google, 2 sites et dépenser la somme folle de 1 euro.

Ces deux sites n’ont probablement rien à se reprocher, mais pour y accéder, il faut utiliser Tor, ce ne sont pas des sites en « .ognion », mais ils semblent filtrer mes IPs en utilisant Cloudflare. Il aiment visiblement l’anonymisation…

Le Tor Browser est un navigateur web libre basé sur Mozilla Firefox ESR qui permet de naviguer anonymement sur le réseau d’anonymisation Tor.

Wikipedia

Le premier site permet de connaitre l’identité d’un utilisateur utilisant un pseudo. Cela fonctionne sur l’ensemble des réseaux sociaux, c’est gratuit. Il utilise pour ça l’ensemble des données de vos réseaux, et probablement des fichiers achetés de façon très douteuse.

Le second site lui fait la même opération avec un nom et prénom. Il permet d’obtenir les numéros de téléphones (pro, perso, fixe, mobile). Ce site est payant, mais avec un tarif abordable… 1 euro pour 7 jours !

Ce site m’a donné l’ensemble des informations recherchées, dont les numéros de téléphones.

En conclusion

c’est très simple d’obtenir ce type d’informations. Elles sont en vente sur des sites douteux accessibles par tous avec Tor. Je recommande bien sûr de ne pas mettre votre numéro de CB sur ce type de site, j’ai de mon côté pris des précautions avant de le faire.

Il est compliqué de vous protéger. Soyez vigilant, méfiez-vous et vérifiez toujours l’identité de votre interlocuteur, que ce soit par email, téléphone, chat, what’s app, sms…

Ces sites sont souvent alimentés par le vols de données venant d’autres sites, et souvent vous n’êtes même pas informés que vos données circulent.

Un bon test

Le site HaveIBeenPawned permet de savoir si votre email apparait dans des fichiers de données volés : https://haveibeenpwned.com.

N’oubliez pas les bons gestes

Je partage avec vous une petite vidéo de Cybermalveillance.gouv.fr qui rappelle les bons gestes à garder en mémoire: