Le service des impôts avec ses services en ligne devient la cible de Phishing.
Tout comme Paypal, les FAI, EDF et bien d’autres on peut donc recevoir des mails trompeurs.
Cet article montre une campagne de mail hameçonnage visant le service des impôts.
Table des matières
Le mail de phishing
Voici le contenu du mail de phishing visant les impôts.
Première chose à vérifier l’adresse de l’expéditeur.
Rappelons qu’il ne s’agit pas d’une information fiable.
A ce propos, vous pouvez lire l’article : Mail et Phishing : Pourquoi il faut se méfier de l’adresse de l’expéditeur
Ici l’adresse est bien celle des impôts : [email protected]
Par contre le répondre A avec une adresse en @frgouv.eu n’a rien d’officiel.
Ce mail ne contient aucun lien mais une pièce jointe.
Là aussi, c’est assez rare que des mails officiels communiquent avec pièce jointe.
Ce dernier contient un avis de remboursement avec cette fois-ci un lien.
Le lien renvoie vers adresse gvf.fr.
Là aussi rien d’officiel, en effet tous les sites gouvernementaux ont des adresses en gouv.fr.
Ainsi pour les impôts les adresses WEB sont en impots.gouv.fr.
Remarquez aussi l’utilisation d’adresse sécurisée en HTTPS.
Cela ne donne aucun gâche officiel, en effet, n’importe quel administrateur WEB peut avoir un site HTTPS.
Au moment de cliquer, le site ne fonctionne plus.
Probablement que l’hébergeur a retiré le contenu de ce dernier.
gvf.fr sert à rediriger vers une autre adresse tvmcj.com.
D’ailleurs l’extension Malwarebytes pour Firefox la bloque comme phishing.
Pour confirmer le tout, on peut aussi afficher le source et en-tête du mail.
Vous pouvez lire pour cela l’article : Comment afficher le source d’un mail ?
On constate que le serveur SMTP émeteur est en emailsrv.com avec une adresse Canadienne.
Enfin à titre d’exemple, voici un vrai mail des impôts.
Le PDF tente de reprendre la charte graphique.
A titre comparatif, la source du mail confirme que ce dernier est bien parti depuis un serveur des impôts.
inetnum: 145.242.0.0 - 145.242.255.255 netname: DGI descr: Direction Generale de Impots descr: Tax Department France descr: Paris country: FR admin-c:
Conclusion
Cette campagne de mail de phishing n’a rien de vraiment sophistiquée.
Mais il faut rester vigilant :
- Vérifier l’adresse de l’expéditeur. Si l’adresse n’a rien de véridique, c’est un mail de phishing. A l’inverse, si elle est correcte, cela ne veut rien dire.
- Vérifiez le contenu et aspect générale. En général, cela donne une indication. En effet, les mails d’hameçonnage reprennent souvent maladroitement les chartes grahiques.
- Les mails de remboursement, de demande de vérification de sécurité sont souvent faux.
- S’il y a un lien dans le mail ou dans une pièce jointe alors vérifiez l’adresse.
- Si le lien semble faux et qu’en plus on vous demande de saisir un mot de passe ou informations bancaires, c’est du phishing.
Pour aller plus loin, vous pouvez lire notre dossier sur le phishing :
Liens
- Le phishing ou hameçonnage par mail : le détecter et s’en protéger
- Le phishing ou hameçonnage
- Phishing et arnaque : utilisation du plein écran sur les navigateurs internet
- Le Tabnabbing : méthode de phishing à connaître
- Exemple de Phishing par SMS (smshing) visant SFR
- Exemple d’un phishing impots
- Arnaque au retard d’amende non payé (phishing)
- Le phishing par Browser-in-the Browser (BITB) : comment ça marche
- Comment se protéger du phishing par SMS (smshing) sur téléphone portable
- Qu’est-ce qu’une attaque par ingénierie sociale
- Typosquatting : Attaque par de faux sites malveillants
- Combosquatting : inciter à faire confiance à des URL malveillants