Tentative de "phishing" sophistiquée

[Dominique]

Bonjour à tous,
"au comptoir" on raconte souvent des histoires drôles mais pas toujours et là je viens vous mettre en garde.
D'autant plus que si ce n'est pas du tout un forum de grabataires, de nombreux participants ne sont plus très jeunes et ont d'avantage de chance de correspondre au profil de victime potentielle

C'est la deuxième fois que je reçois un mail de Doctolib me proposant d'avancer un rendez vous de consultation médicale,
parce que un rendez vous pris par une autre personne venait d'être annulé et qu'un créneau devenait disponible.
La première fois je n'avais pas de rendez vous prévu et encore moins avec le médecin nommé dans le mail, son nom m'était inconnu.
La seconde fois idem mais en plus, l'adresse mail du destinataire n'était même pas la mienne ! même si toutefois elle y ressemblait un peu.
Je n'ai répondu à aucun des mails, même pour dire qu'il y avait erreur.. ce qui vient naturellement à l'esprit.

J'ai préféré contacter Doctolib (avec beaucoup de mal pour trouver un formulaire de contact sur leur site)
pour leur signaler que leur système faisait des confusions d'adresses de destinataires.
Ils viennent de me répondre que c'est une tentative de phishing (pour récupérer des informations personnelles, etc..)
et qu'ils sont en train de mettre en place une parade.

De fait c'est assez sophistiqué car l'adresse de l'expéditeur des messages frauduleux est "no-reply@doctolib.fr " alors que la véritable adresse est "no-reply@doctolib.com " le message lui même a tout à fait l'aspect de l'authenticité.
J'imagine que si on répond, et ce ne peut être forcément que pour signaler qu'il s'agit d'une erreur, ils demandent alors que l'on redonne ses coordonnées exactes pour vérification sur un formulaire bidon tout aussi bien imité que leur message.

C'est extrêmement bien imité, alors si vous recevez ce genre de mail, d'autant plus piégeant si par ailleurs on a vraiment un rendez vous en cours à venir, n'y donnez surtout pas suite.

Je vous laisse le soin de prévenir vos proches, surtout ceux dont vous savez qu'ils sont susceptible d'utiliser les services de rendez-vous médicaux Doctolib

Salut à tous

Dominique

[cacajou]

Information utile , je vais y prêter attention .
Merci à toi

[Leenane]

Et notez bien cette adresse pour déclarer tout courriel frauduleux et même plus (lire la présentation sur le site).
https://www.internet-signalement.gouv.fr/PortailWeb/planets/SignalerEtapeChoixTypeContenu!input.action
Ce site est officiel et je l'utilise depuis sa création.

[Aurelia B20]

J'ai essayé de l'utiliser aussi cette année, à la suite d'une tentative d’escroquerie sur coincoin, je n'ai jamais pu aller au bout et notamment je n'ai pas pu joindre des pièces (doubles de fausse facture, faux emails, etc), le site bloquait ...

[Leenane]

Bizarre, ça fonctionne bien pourtant .....

Signaler une Escroquerie

Si l'escroquerie que vous souhaitez signaler vous est parvenue par un spam (pourriel), cliquez ici : http://www.signal-spam.fr

Si vous souhaitez obtenir des renseignements dans le domaine des escroqueries, composez le 0805 805 817 (appel gratuit) pour être mis en relation avec un policier ou un gendarme.

Dans les autres cas, cliquez sur le bouton "Etape suivante". Si vous êtes personnellement victime d'une escroquerie, le signalement n'a pas valeur de plainte. Présentez-vous dans un commissariat de Police ou une brigade de Gendarmerie, muni des documents relatifs aux faits dont vous êtes victime (relevés bancaires, reçus de paiements, impressions de courriels, etc.) et d'une pièce d'identité.

Pour nous signaler une escroquerie véhiculée par un courriel, merci de copier/coller l'intégralité du texte reçu.

[bverthier]

Règle numéro une quand on reçoit un mail avec un lien pour se connecter, ou un formulaire à remplir, aller directement sur le VRAI site depuis le navigateur, et se connecter pour voir si il y a quelque chose. Surtout JAMAIS se connecter depuis un lien dans un mail. D'autant plus si le message semble urgent, ou vous fait miroiter un remboursement.

Je ne compte plus le nombre de messages, parfois très bien fait, envoyés par des personnes se faisant passer pour Paypal, les impots, le bon coin.... Parfois ça pue l'arnaque à plein nez, mais souvent c'est bien fait.

[Dominique]

"Je ne compte plus le nombre de messages, parfois très bien fait, envoyés par des personnes se faisant passer pour Paypal, les impots, le bon coin.... Parfois ça pue l'arnaque à plein nez, mais souvent c'est bien fait.

C'est surtout l'originalité de l'angle d'attaque qui m'a semblé utile de signaler. En effet on ne compte plus la variété de faux messages, mais ils ont en commun de se rapporter directement à de la "valeur" Banques, moyens de paiement, Impôts, remboursements divers, gains à des loteries et concours, ou risque de fermeture de comptes divers, etc... Là ça semble beaucoup plus anodin et on imagine facilement qu'il s'agit d'une erreur que par réflexe on peut être tenté de corriger "en direct" et non via le site original ( d'autant plus en l’occurrence que pour trouver le lien "contact" sur le si(e Doctolib et bien bonjour ! ) Ce que je trouve très subtile également c'est que l’adresse de destinataire qui n'était pas la mienne comporte des analogies, soit elle est fabriquée pour y ressembler, soit un tri automatique des adresses proches est fait avant de lancer les messages. J'ai eu quelques retours me disant que ces messages "Doctolib" avaient été trouvés par certains dans leurs spams, ce qui alerte mais sur ce coup là ils ont passé le filtre Orange sans problème. C'était la réponse de Doctolib : ils contactent les opérateurs pour le leur signaler. J'imagine que les copies en .fr et autres seront arrêtés et que seuls les .com passeront... encore que il est facile de modifier d'autres caractéristiques en changeant une lettre "'discrète" un "a" pour un "o"

[cacajou]

Il y aussi le type de messagerie que l'on utilise .
Si on opte pour gmx caramail , par exemple ça va directement dans les spams et qui dit spam dit méfiance

[cbx]

c'est que l’adresse de destinataire qui n'était pas la mienne comporte des analogies

Je ne comprends pas comment un mail ne portant pas ton adresse peut t'arriver.

... encore que il est facile de modifier d'autres caractéristiques en changeant une lettre "'discrète" un "a" pour un "o"

Modifier un a par un o peut tromper un humain mais en ASCII (code interne utilisé par les ordinateurs) le a s'écrit 61 et le o s'écrit 111.
Toutes les lettres, chiffres et ponctuation sont remplacés par un chiffre allant de 0 à 127, aucun doublon possible.

https://www.fil.univ-lille1.fr/~wegrzyn ... teres.html

Bref, je comprends pô

[Dominique]

c'est que l’adresse de destinataire qui n'était pas la mienne comporte des analogies

Je ne comprends pas comment un mail ne portant pas ton adresse peut t'arriver.

Moi aussi ça me surprend mais il y a peut être une possibilité : le mail est envoyé avec une adresse bidon similaire "en clair" et la mienne en C.C.I. non visible; je vois la première et pas la seconde (?)

... encore que il est facile de modifier d'autres caractéristiques en changeant une lettre "'discrète" un "a" pour un "o"

Modifier un a par un o peut tromper un humain mais en ASCII (code interne utilisé par les ordinateurs) le a s'écrit 61 et le o s'écrit 111.
Toutes les lettres, chiffres et ponctuation sont remplacés par un chiffre allant de 0 à 127, aucun doublon possible.

Bref, je comprends pô

Ce n'est pas la machine qui se fait tromper mais le destinataire qui ne lit pas l'adresse scrupuleusement : si je reçois un mail expédié par impos.gouv ou oronge.com ou dans ce cas docctolib.com ou docttolib.com ou doctabilb.com ça risque de passer surtout si on a un rendez vous en cours pris via ce système de prise de rendez vous