Suite aux récentes grèves, la RATP a mis en place un site de remboursement du Navigo.
Comme souvent, les pirates en profitent pour attaquer les internautes avec des arnaques et phishing.
Ainsi des campagnes de phishing pour le pass Navigo ont lieu.
Les internautes tombent dans le pièce et peuvent donner des données importantes dont la carte bancaire.
Voici un exemple de phishing et hammeçonage du Navigo.
Table des matières
Une première victime qui explique être tombé sur un site fraduleux.
Ainsi :
- Le vrai site de remboursement du pass Navigo est https://mondedommagementnavigo.com/
- Alors que le faux mis en place par les pirates est https://monremboursementnavigo.com/
Comme vous pouvez le constater, les deux sites sont en HTTPs, dits sécurisés.
En effet, il n'est pas très compliqué de créer un site dit HTTPS.
Voici graphiquement le vrai site avec l'alerte de l'utilisation de cookies.
De plus, tout en bas, on trouve les mentions légales.
Celles-ci sont très claires.
Au tour du faux site utilisés dans cette campagnes de dédommagement Navigo.
Aucune image et aucune mention légale.
Tout en bas, on voit une indication que le site est fait en WordPress.
Clairement, on voit un site fait à la va vite et de manière par des amateurs.
Puis vous pouvez déposer votre demande de remboursement.
Ici le pirate récupère toutes les informations qu'il pourra revendre.
Mais surtout comme cela est indiqué dans le tweet.
On vous demande vos informations bancaires.
Là aussi le pirate va les récupère.
En effet, les données saisies sont envoyées sur le site mon-remboursement-na-eur.payfacile.com contrôlé par le cybercriminel.
Ce dernier utilise un service de paiement gratuit.
Ainsi on tombe ensuite dans les attaques classiques.
Quelques informations techniques
Le site de phishing est hébergé en Islande.
L'hébergeur se nomme 1984hosting.
inetnum: 185.112.144.0 - 185.112.145.255 netname: THE-1984-CLOUD descr: The 1984 cloud net 1 country: IS admin-c: MI1311-RIPE tech-c: SE271-RIPE status: ASSIGNED PA remarks: rev-srv: ns0.1984.is remarks: rev-srv: ns1.1984.is
Enfin le site utilise le service Let's encrypt pour obtenir un certificat SSL.
Ainsi le de phishing est en HTTPs.
Comme je vous l'ai déjà dit, cela n'est pas un gage de sureté.
Protéger son PC contre les virus et pirates
Pour rappel, il existe un tutoriel complet sur le phishing : Le phishing ou hameçonnage par mail.
Dans cet exemple, le site n'est répertorié dans aucune liste noire, ainsi il n'est pas bloqué.
Ainsi c'est surtout à vous d'être vigilant.
Je l'air reporté à Google et compagnie.
Ainsi les navigateurs WEB devrait le bloquer rapidement.
Enfin notre guide complet pour sécuriser et protéger votre PC :
