CERTA-2007-ALE-003

Vulnerability from certfr_alerte - Published: - Updated:

Un courriel électronique est actuellement diffusé sur l'Internet, et comporte un lien vers un site de filoutage, ou phishing. Il permettrait à une personne malveillante de voler des données personnelles, des identifiants de connexion et des coordonnées bancaires.

Description

Un courriel électronique est actuellement diffusé sur l'Internet.

Dans sa configuration actuelle, il se présente comme un message provenant de AdminSNCF@sncf-voyages.com, avec pour titre : « Urgent : Vérification de vos données ».

Le corps du message ressemble à s'y méprendre à un courrier authentique de la SNCF, avec le logo et un texte en français. Ce dernier, sous un faux prétexte ironique ("vol de votre identité pour acheter sur un site Internet"), exige avec beaucoup de sérieux ("information chiffrée et protégée avec le meilleur logiciel de chiffrement dans l'industrie"), à la victime de fournir ses coordonnées bancaires, des données personnelles (adresse, date de naissance, numéro de téléphone), et un mot de passe.

Le lien affiché dans le corps du message ressemble à celui de la SNCF : http://www.sncf-voyages.com mais dirige la victime vers un site factice (imitation d'un site officiel de la SNCF).

Solution

4.1 Origine du problème

Les courriers électroniques, tout comme les lettres postales, sont un moyen de communication aisé pour transmettre de l'information. Cependant, le processus standard pour les transmettre n'offre pas, sans service complémentaire, certaines garanties. Pour les lettres postales, l'expéditeur n'est pas vérifié, et l'entête du courrier (adresses, téléphone, dates) peut être falsifié. Il en va de même pour la messagerie électronique.

Ces problèmes sont à la source des attaques de filoutage (ou phishing), ou servent à conduire les utilisateurs vers des pages Web malveillantes.

4.2 Recommandations

Comment réagir pour ne pas se faire voler d'informations ?

Il n'est pas aisé de déterminer si un courriel a été envoyé à des fins malveillantes. Quelques bons réflexes permettent cependant, malgré la difficulté d'estimer le risque, de limiter les impacts d'une telle attaque :

  • être circonspect quand l'expéditeur ou le destinataire affiché est inconnu, ou quand le style ou la syntaxe sont approximatifs ;
  • être vigilant lorsqu'un courriel demande des actions urgentes, propose de l'argent facile ou des produits peu chers ;
  • éviter de fournir de l'information sur le site Internet qui s'affiche après un clic dans un courriel, en remplissant par exemple un formulaire ou en renseignant un mot de passe ;
  • faites appel à un correspondant informatique ou de sécurité s'il y a le moindre doute sur la nature d'u n courriel reçu ou sur une page Internet visitée suite au clic depuis un courriel.

Quelques mesures plus techniques :

  • vérifier pour tout échange de coordonnées confidentielles que le mot https figure devant l'adresse du site dans la barre du navigateur et/ou un cadenas existe dans la barre d'état (bas droit de l'écran) ;
  • taper directement dans le navigateur Internet l'adresse indiquée par le courrier électronique, sans cliquer dessus, et après l'avoir vérifiée. En effet le lien qui s'affiche à l'écran n'est pas nécessairement la véritable adresse Internet cible ;
  • configurer le client de messagerie pour lire tous les courriers électroniques au format texte ;
  • configurer le navigateur Internet pour qu'il n'interprète pas les ActiveX, Java et le Javascript par défaut ;
  • consulter le code source du courrier électronique pour vérifier les adresses incluses dans les liens HTML.
None
Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": null,
  "closed_at": "2007-01-22",
  "content": "## Description\n\nUn courriel \u00e9lectronique est actuellement diffus\u00e9 sur l\u0027Internet.\n\nDans sa configuration actuelle, il se pr\u00e9sente comme un message\nprovenant de `AdminSNCF@sncf-voyages.com`, avec pour titre : \u00ab Urgent :\nV\u00e9rification de vos donn\u00e9es \u00bb.\n\nLe corps du message ressemble \u00e0 s\u0027y m\u00e9prendre \u00e0 un courrier authentique\nde la SNCF, avec le logo et un texte en fran\u00e7ais. Ce dernier, sous un\nfaux pr\u00e9texte ironique (\"vol de votre identit\u00e9 pour acheter sur un site\nInternet\"), exige avec beaucoup de s\u00e9rieux (\"information chiffr\u00e9e et\nprot\u00e9g\u00e9e avec le meilleur logiciel de chiffrement dans l\u0027industrie\"), \u00e0\nla victime de fournir ses coordonn\u00e9es bancaires, des donn\u00e9es\npersonnelles (adresse, date de naissance, num\u00e9ro de t\u00e9l\u00e9phone), et un\nmot de passe.\n\nLe lien affich\u00e9 dans le corps du message ressemble \u00e0 celui de la SNCF :\nhttp://www.sncf-voyages.com mais dirige la victime vers un site factice\n(imitation d\u0027un site officiel de la SNCF).\n\n## Solution\n\n## 4.1 Origine du probl\u00e8me\n\nLes courriers \u00e9lectroniques, tout comme les lettres postales, sont un\nmoyen de communication ais\u00e9 pour transmettre de l\u0027information.\nCependant, le processus standard pour les transmettre n\u0027offre pas, sans\nservice compl\u00e9mentaire, certaines garanties. Pour les lettres postales,\nl\u0027exp\u00e9diteur n\u0027est pas v\u00e9rifi\u00e9, et l\u0027ent\u00eate du courrier (adresses,\nt\u00e9l\u00e9phone, dates) peut \u00eatre falsifi\u00e9. Il en va de m\u00eame pour la\nmessagerie \u00e9lectronique.\n\nCes probl\u00e8mes sont \u00e0 la source des attaques de filoutage (ou phishing),\nou servent \u00e0 conduire les utilisateurs vers des pages Web malveillantes.\n\n## 4.2 Recommandations\n\nComment r\u00e9agir pour ne pas se faire voler d\u0027informations ?\n\nIl n\u0027est pas ais\u00e9 de d\u00e9terminer si un courriel a \u00e9t\u00e9 envoy\u00e9 \u00e0 des fins\nmalveillantes. Quelques bons r\u00e9flexes permettent cependant, malgr\u00e9 la\ndifficult\u00e9 d\u0027estimer le risque, de limiter les impacts d\u0027une telle\nattaque :\n\n-   \u00eatre circonspect quand l\u0027exp\u00e9diteur ou le destinataire affich\u00e9 est\n    inconnu, ou quand le style ou la syntaxe sont approximatifs ;\n-   \u00eatre vigilant lorsqu\u0027un courriel demande des actions urgentes,\n    propose de l\u0027argent facile ou des produits peu chers ;\n-   \u00e9viter de fournir de l\u0027information sur le site Internet qui\n    s\u0027affiche apr\u00e8s un clic dans un courriel, en remplissant par exemple\n    un formulaire ou en renseignant un mot de passe ;\n-   faites appel \u00e0 un correspondant informatique ou de s\u00e9curit\u00e9 s\u0027il y a\n    le moindre doute sur la nature d\u0027u n courriel re\u00e7u ou sur une page\n    Internet visit\u00e9e suite au clic depuis un courriel.\n\nQuelques mesures plus techniques :\n\n-   v\u00e9rifier pour tout \u00e9change de coordonn\u00e9es confidentielles que le mot\n    https figure devant l\u0027adresse du site dans la barre du navigateur\n    et/ou un cadenas existe dans la barre d\u0027\u00e9tat (bas droit de l\u0027\u00e9cran)\n    ;\n-   taper directement dans le navigateur Internet l\u0027adresse indiqu\u00e9e par\n    le courrier \u00e9lectronique, sans cliquer dessus, et apr\u00e8s l\u0027avoir\n    v\u00e9rifi\u00e9e. En effet le lien qui s\u0027affiche \u00e0 l\u0027\u00e9cran n\u0027est pas\n    n\u00e9cessairement la v\u00e9ritable adresse Internet cible ;\n-   configurer le client de messagerie pour lire tous les courriers\n    \u00e9lectroniques au format texte ;\n-   configurer le navigateur Internet pour qu\u0027il n\u0027interpr\u00e8te pas les\n    ActiveX, Java et le Javascript par d\u00e9faut ;\n-   consulter le code source du courrier \u00e9lectronique pour v\u00e9rifier les\n    adresses incluses dans les liens HTML.\n",
  "cves": [],
  "links": [
    {
      "title": "Note CERTA-2000-INF-002, \u00ab Mesures de pr\u00e9vention relatives    \u00e0 la messagerie \u00bb :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2000-INF-002/"
    },
    {
      "title": "Note CERTA-2005-INF-004, \u00ab Limiter l\u0027impact du      SPAM \u00bb :",
      "url": "http://www.certa.ssi.gouv.fr/site/CERTA-2005-INF-004/"
    }
  ],
  "reference": "CERTA-2007-ALE-003",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2007-01-15T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "Un courriel \u00e9lectronique est actuellement diffus\u00e9 sur l\u0027Internet, et\ncomporte un lien vers un site de filoutage, ou phishing. Il permettrait\n\u00e0 une personne malveillante de voler des donn\u00e9es personnelles, des\nidentifiants de connexion et des coordonn\u00e9es bancaires.\n",
  "title": "Filoutage contre le site voyages-sncf.com",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.