Exemple d’un phishing impots

Le service des impôts avec ses services en ligne devient la cible de Phishing.
Tout comme Paypal, les FAI, EDF et bien d’autres on peut donc recevoir des mails trompeurs.

Cet article montre une campagne de mail hameçonnage visant le service des impôts.

phishing et hameçonnage des impots

Le mail de phishing

Voici le contenu du mail de phishing visant les impôts.

Première chose à vérifier l’adresse de l’expéditeur.
Rappelons qu’il ne s’agit pas d’une information fiable.
A ce propos, vous pouvez lire l’article : Mail et Phishing : Pourquoi il faut se méfier de l’adresse de l’expéditeur
Ici l’adresse est bien celle des impôts : nepasrepondre@impots.gouv.fr
Par contre le répondre A avec une adresse en @frgouv.eu n’a rien d’officiel.

Ce mail ne contient aucun lien mais une pièce jointe.
Là aussi, c’est assez rare que des mails officiels communiquent avec pièce jointe.
Ce dernier contient un avis de remboursement avec cette fois-ci un lien.

Le lien renvoie vers adresse gvf.fr.
Là aussi rien d’officiel, en effet tous les sites gouvernementaux ont des adresses en gouv.fr.
Ainsi pour les impôts les adresses WEB sont en impots.gouv.fr.

Remarquez aussi l’utilisation d’adresse sécurisée en HTTPS.
Cela ne donne aucun gâche officiel, en effet, n’importe quel administrateur WEB peut avoir un site HTTPS.

Au moment de cliquer, le site ne fonctionne plus.
Probablement que l’hébergeur a retiré le contenu de ce dernier.

gvf.fr sert à rediriger vers une autre adresse tvmcj.com.
D’ailleurs l’extension Malwarebytes pour Firefox la bloque comme phishing.

Pour confirmer le tout, on peut aussi afficher le source et en-tête du mail.
Vous pouvez lire pour cela l’article : Comment afficher le source d’un mail ?
On constate que le serveur SMTP émeteur est en emailsrv.com avec une adresse Canadienne.

Enfin à titre d’exemple, voici un vrai mail des impôts.
Le PDF tente de reprendre la charte graphique.

A titre comparatif, la source du mail confirme que ce dernier est bien parti depuis un serveur des impôts.

inetnum:        145.242.0.0 - 145.242.255.255
netname:        DGI
descr:          Direction Generale de Impots
descr:          Tax Department France
descr:          Paris
country:        FR
admin-c:       

Conclusion

Cette campagne de mail de phishing n’a rien de vraiment sophistiquée.
Mais il faut rester vigilant :

  • Vérifier l’adresse de l’expéditeur. Si l’adresse n’a rien de véridique, c’est un mail de phishing. A l’inverse, si elle est correcte, cela ne veut rien dire.
  • Vérifiez le contenu et aspect générale. En général, cela donne une indication. En effet, les mails d’hameçonnage reprennent souvent maladroitement les chartes grahiques.
  • Les mails de remboursement, de demande de vérification de sécurité sont souvent faux.
  • S’il y a un lien dans le mail ou dans une pièce jointe alors vérifiez l’adresse.
  • Si le lien semble faux et qu’en plus on vous demande de saisir un mot de passe ou informations bancaires, c’est du phishing.

Pour aller plus loin, vous pouvez lire notre dossier sur le phishing :

image_pdfimage_print
(Visité 338 fois, 2 visites ce jour)