Autopsie d’un Spam francophone par mail

Aujourd’hui, comme les autres jours, je regarderai ma boîte mail et un mail a attiré mon attention, ce mail concerné une livraison de colis.
Du coup, je me suis dit chouette un virus et grosse déception ça n’en était pas un.

Voici une description rapide de cette campagne de SPAM DHL et plus globalement du spam francophone.

Autopsie d'un Spam francophone par mail

Introduction

Avant de décrire la campagne, le but de l’article est simplement donner quelques informations sur le SPAM, surtout si vous n’avez pas lu le dossier du site : Le SPAM : les mails indésirables
On connait tous les mails d’agrandissement de pénis, de viagra, de dating russe (rencontre) et malveillants qui ont souvent pour origine des botnet et sont mondiaux.
Ainsi, ces SPAM illégaux sont souvent en langue anglaises :

Autopsie d'un Spam francophone par mail

Autopsie d'un Spam francophone par mail

Je parlais de virus dans l’introduction, car les campagnes de virus par mail utilisent beaucoup de services connus pour tromper les internautes, DHL en fait partie.
Ci-dessous un mail malveillant en anglais utilisent DHL Service.

spam DHL par le trojan Zeus

Et puis, il y a le SPAM francophone qui a pour origine des boîtes d’emailing, marketing, c’est ce que nous allons voir dans cet article.

Mail de SPAM DHL

Le mail de SPAM francophone qui nous intéresse a comme sujet : Nous avons un colis à votre nom

Nous avons un colis à votre nom
Nous avons un colis à votre nom
De DHL - Livraison <info@elbit-fid12.com>
À malek@malekal.com
Répondre à tristan@elbit-medias.fr

Comme tous ces mails, qu’il soit de SPAM ou contenant des malwares, le but est souvent de se faire passer pour un service existant afin d’attirer votre attention.
Chronopost a aussi fait l’objet de mail malveillant par le passé : Faux mail Chronopost et virus 

Voici une capture d’écran, comme vous pouvez le constater, on utilise le logo DHL.

Autopsie d'un Spam francophone par mail

Autopsie d'un Spam francophone par mail

Le second lien conduit vers une campagne qui est terminée.

Autopsie d'un Spam francophone par mail

Il s’agit en réalité de faire faire soit disant participer à un jeu sous couvert d’inscription.
Le but ici est de récupérer des informations personnelles pour alimenter des bases de données.

Autopsie d'un Spam francophone par mail

Autopsie d'un Spam francophone par mail

Maintenant, deux captures d’écran significatives, ci-dessous le formulaire est pré-rempli avec « Kikoolol » comme nom.

Autopsie d'un Spam francophone par mail

Remarquez l’adresse deal-du-moment.com, on y reviendra..
Notez aussi la phrase sous le formulaire où vous acceptez de recevoir des mails ou appel téléphonique pour des sponsors…

Autopsie d'un Spam francophone par mail

Au final, on arrive sur des pseudos jeux à gagner…

Autopsie d'un Spam francophone par mail

Sur le mail et la page du jeu, il est stipulé que DHL n’a rien à voir avec tout cela, ça n’empêche pas d’utiliser leurs logos à outrance.
Mais surtout…. on vous rappelle bien qu’il faut bien saisir vos coordonnées.
On trouve des formules « n’hésitez pas à saisir vos coordonnées » ou « Validez vos coordonnées », car c’est en réalité, le but du jeu que de récupérer vos données afin de les monétiser par la suite.

Autopsie d'un Spam francophone par mail

D’ailleurs sur la page du jeu, il est clairement stipulé que ces données seront réutilisées, soit donc revendues à des fins de prospections commerciales :

Autopsie d'un Spam francophone par mail

Informations sur la source du SPAM

Le jeu est organisé par Natexo…

Autopsie d'un Spam francophone par mail

Le domaine du jeu est aussi enregistré par eux…

Autopsie d'un Spam francophone par mail

… cette société se présente comme une entreprise d’emailing commerciale… : NATEXO est une société spécialisée dans l’email marketing depuis 2008.

Autopsie d'un Spam francophone par mail

Du côté, des envois de mail (sourceinfo@elbit-fid12.com), c’est une autre société qui en est la source : ELBIT MEDIAS

Autopsie d'un Spam francophone par mail

La société possède plusieurs domaines elbit-fidxx.com qui sont utilisés pour diverses campagnes.
Beaucoup de ces boîtes utilisent des services d’emailing comme SENDINBLUE ou EMAILVISION pour effectuer leurs campagnes.

Autopsie d'un Spam francophone par mail

Autopsie d'un Spam francophone par mail

Les campagnes de SPAM francophones

Vos adresses emails ont été récupérées lors d’inscription sur des sites internet, puis les mails de SPAM arrivent, sans votre accord.
Dans mon cas, le fait que certains formulaires soient pré-remplis par Kikoolol n’est pas étonnant, car je me suis justement inscrit sur certains site sous ce nom.

Autopsie d'un Spam francophone par mail

Tiens, on retrouve deal-du-moment.com mentionné plus haut… aussi…

Autopsie d'un Spam francophone par mail
Dans les mails, on trouve souvent des formules de descriptions mais aussi des articles de la loi, CNIL stipulant que vous avez le droit de retrait etc etc…
Tout pour faire croire que vous avez sciemment demandé à recevoir ces mails commerciaux et que tout est fait dans les règles de l’art avec la possibilité de vous désinscrire.

Seulement, la désinscription est souvent partielle. Par exemple, je me suis désinscrit de la campagne DHL de ELBIT MEDIAS, ça ne m’a pas empêcher de lendemain d’avoir un mail sur l’électricité.
En clair, souvent la désinscription concerne une campagne spécifique et ne supprime pas votre adresse de toutes les listes.
L’entreprise à l’origine des campagnes gardent votre mail et l’utilise pour de nouvelles campagnes… Cela n’en fini donc jamais.

En clair, une fois que votre adresse email est connue, le mal est fait, d’ailleurs certains formulaires de désinscription sont clairs là dessus.
Clairement, il s’agit de faire croire que vous avez la main en pouvant vous désinscrire et ne plus recevoir de mail commercial, mais en réalité, ce n’est pas vraiment le cas.

Autopsie d'un Spam francophone par mail

Autopsie d'un Spam francophone par mail

Bien entendu, il existe d’autres entreprises que celles citées dans cet article…

Lien autour du SPAM

et pour compléter tout cela, vous pouvez aussi lire notre dossier complet sur le SPAM : Le SPAM – le courrier indésirable.

EDITION – 11 Août 2017

J’ai reçu un email provenant de SendinBlue qui dit avoir suspendre le compte d’ELBIT MEDIAS… Pendant ce temps là, un énième mail de jeu concours pour gagner un Samsung provenant de info@aoutopt-strat.fr :

Autopsie d'un Spam francophone par mail

Autopsie d'un Spam francophone par mail

qui mène encore une fois à un sondage (survey en anglais)  sur selonvous.com mais avec un domaine qui n’a rien à voir, c’est pour éviter le blacklistage ?
On retrouve encore Kikoolol en autre à droite :

Autopsie d'un Spam francophone par mail

et sans surprise, exactement les mêmes acteurs :

Autopsie d'un Spam francophone par mail

Le domaine aoutopt-strat.fr appartient à ELBIT MEDIAS :

Autopsie d'un Spam francophone par mail

La page de désinscription, cette fois-ci, c’est le service emailstrategie qui est utilisé pour diffuser leurs e-mails :

Autopsie d'un Spam francophone par mail

Bref, cela confirme bien ce qui a été évoqué plus haut, vous vous désinscrivez d’une campagne en pensant être supprimé de toutes les listes, vous en recevez des nouvelles par la suite.

Par contre, emailstrategie donne un lien au début du mail « signaler sur spam » qui permet apparemment de ne plus recevoir un mail provenant de cette plateforme… voyons si cela va fonctionner :

Autopsie d'un Spam francophone par mail

(Visité 747 fois, 1 visites ce jour)

Vous pouvez aussi lire...

Les Tags : #Windows10 - #Windows - #Tutoriel - #Virus - #Antivirus - #navigateurs WEB - #Securité - #Réseau - #Internet