Phishing sur le dédommagement Navigo

Suite aux récentes grèves, la RATP a mis en place un site de remboursement du Navigo.
Comme souvent, les pirates en profitent pour attaquer les internautes avec des arnaques et phishing.
Ainsi des campagnes de phishing pour le pass Navigo ont lieu.
Les internautes tombent dans le pièce et peuvent donner des données importantes dont la carte bancaire.

Voici un exemple de phishing et hammeçonage du Navigo.

Phishing sur le dédommagement Navigo — Phishing sur le dédomagement Navigo

Table des matières

1 Phishing : remboursement du pass Navigo
- 1.1 Comparer le vrai site remboursement Navigo du site frauduleux
- 1.2 Quelques informations techniques
2 Protéger son PC contre les virus et pirates

Phishing : remboursement du pass Navigo

Une première victime qui explique être tombé sur un site fraduleux.

https://twitter.com/rbourgeon/status/1223306559457046528

Ainsi :

Le vrai site de remboursement du pass Navigo est https://mondedommagementnavigo.com/
Alors que le faux mis en place par les pirates est https://monremboursementnavigo.com/

Comparer le vrai site remboursement Navigo du site frauduleux

Comme vous pouvez le constater, les deux sites sont en HTTPs, dits sécurisés.
En effet, il n’est pas très compliqué de créer un site dit HTTPS.

Voici graphiquement le vrai site avec l’alerte de l’utilisation de cookies.
De plus, tout en bas, on trouve les mentions légales.

Phishing sur le dédommagement du pass Navigo

Celles-ci sont très claires.

Au tour du faux site utilisés dans cette campagnes de dédommagement Navigo.
Aucune image et aucune mention légale.

Tout en bas, on voit une indication que le site est fait en WordPress.
Clairement, on voit un site fait à la va vite et de manière par des amateurs.

Puis vous pouvez déposer votre demande de remboursement.
Ici le pirate récupère toutes les informations qu’il pourra revendre.

Mais surtout comme cela est indiqué dans le tweet.
On vous demande vos informations bancaires.
Là aussi le pirate va les récupère.
En effet, les données saisies sont envoyées sur le site mon-remboursement-na-eur.payfacile.com contrôlé par le cybercriminel.
Ce dernier utilise un service de paiement gratuit.

Ainsi on tombe ensuite dans les attaques classiques.

Quelques informations techniques

Le site de phishing est hébergé en Islande.

L’hébergeur se nomme 1984hosting.

 inetnum:        185.112.144.0 - 185.112.145.255
 netname:        THE-1984-CLOUD
 descr:          The 1984 cloud net 1
 country:        IS
 admin-c:        MI1311-RIPE
 tech-c:         SE271-RIPE
 status:         ASSIGNED PA
 remarks:        rev-srv: ns0.1984.is
 remarks:        rev-srv: ns1.1984.is

Enfin le site utilise le service Let’s encrypt pour obtenir un certificat SSL.
Ainsi le de phishing est en HTTPs.
Comme je vous l’ai déjà dit, cela n’est pas un gage de sureté.

Protéger son PC contre les virus et pirates

Pour rappel, il existe un tutoriel complet sur le phishing : Le phishing ou hameçonnage par mail.

Dans cet exemple, le site n’est répertorié dans aucune liste noire, ainsi il n’est pas bloqué.
Ainsi c’est surtout à vous d’être vigilant.
Je l’air reporté à Google et compagnie.
Ainsi les navigateurs WEB devrait le bloquer rapidement.

Enfin notre guide complet pour sécuriser et protéger votre PC :