Tentative d’arnaque avec un faux avis de passage de La Poste, un code QR et une faille

Raccoon

Une attaque en ligne dans votre boite aux lettres

Recevoir un avis de passage pour un recommandé a de quoi inquiéter. C’est ce qui est arrivé à plusieurs habitants du côté de Montpellier, mais avec un faux avis de passage menant vers un vrai site pour arnaquer les visiteurs en exploitant une faille sur le site de La Poste.

Les tentatives d’arnaques sur Internet sont de plus en plus nombreuses et sophistiquées, mais elles ne résistent que rarement à quelques vérifications de base. Nous en avons déjà détaillé plusieurs, notamment celles qui annoncent que vous avez gagné 30 bitcoins et la fraude à la réparation informatique.

• Vous avez gagné 30 bitcoins !
• Fraude à la réparation informatique : cas pratique autour d’un faux écran bleu

Récemment, c’est via un faux avis de passage de La Poste pour un recommandé avec accusé de réception que des personnes malintentionnées ont essayé de récupérer des numéros de cartes bancaires. Flavio Perez relate son histoire sur Twitter, photo à l’appui.

Il a été glissé dans la boite aux lettres de plusieurs quartiers de Montpellier et daté du 23 août. On peut facilement s’inquiéter et se demander ce que peut contenir un recommandé avec accusé de réception que l’on n’attend pas. Le faux document propose de « confirmer la re-livraison de votre lettre ». Vous avez deux possibilités : saisir à la main un lien ou scanner un code QR. Dans les deux cas, le piège est le même.

Plusieurs indices

Nous sommes clairement à des années-lumière des emails d’une riche personne en Afrique qui ne sait pas à qui donner ses millions, d’un milliardaire en quête d’un bon samaritain pour l’aider à récupérer ses fonds dans une banque, d’une convocation judiciaire que l’on peut éviter en payant une somme plus ou moins conséquente, etc.

Dans le cas présent, rien ne semble à première vue indiquer qu’il s’agit d’un faux, sauf si l’on reçoit régulièrement ce genre d’avis de passage ou que l’on travaille à la Poste. Plusieurs indices peuvent néanmoins mettre la puce à l’oreille. Tout d’abord, rien ne précise qu’on peut récupérer son recommandé directement dans un bureau de poste, alors que c’est le cas.

Le numéro de suivi ensuite – 6Q01929938641 – est un autre indice. Si l’on se rend sur le site de LaPoste.fr et que l’on clique sur « Suivre un envoi », le numéro nous indique qu’il s’agit d’un colissimo qui a été pris en charge par La Poste le 27 septembre. Les retards existent, mais là on est dans une autre dimension… Problème, ou « bonne » idée des pirates, le site de La Poste précise aussi que « la livraison de votre colis est retardée ».

Il faut être un peu plus observateur, mais ce numéro 6Q01929938641 est bien connu de La Poste : il est d’ailleurs indiqué comme exemple dans la zone de saisie de texte. Les pirates n’ont donc pas eu besoin de chercher bien loin un numéro fonctionnel… Des indices subtils, mais qui démontrent l’intérêt de prendre quelques minutes avant de se précipiter.

Une vraie redirection vers un faux site

Le principal problème réside dans l’URL. C’est la même sur le code QR et le lien écrit dans l’avis de passage. Il commence par « laposte.fr », qui est bien le nom de domaine officiel de La Poste, aucun doute là-dessus. La suite du lien est plus complexe pour celui qui veut la saisir à la main. Autant il apparait comme étrange et suspect pour quelqu’un qui maitrise un peu l’informatique, autant il peut ressembler à n’importe quel charabia d’Internet pour d’autres.

Si on scanne le code QR, la méthode est encore plus efficace (d’autant qu’elle « simplifie la vie de l’utilisateur ») : l’URL commence donc bien par Laposte.fr et on n’analyse pas forcément ce qui se trouve derrière, pourquoi ne pas cliquer dessus alors ? C’est là que le piège se referme, ou se refermait plus exactement.

L’internaute en attente de son recommandé arrivait sur un faux site – Laposteaide[.]fr – imitant celui de La Poste. Il était demandé de payer 0,97 euro pour relancer la livraison. La somme n’est pas importante, certains pourraient se laisser tenter. Mais l’arnaque peut largement dépasser l’euro symbolique : les pirates récupèrent les données de votre carte bancaire et peuvent ensuite s’en resservir pour d’autres achats.

Faille bouchée, lien signalé, site suspendu

Depuis, la faille a été bouchée et plusieurs protections ont été mises en place. L’URL piégée ne renvoie plus sur un site tiers et l’utilisateur reste sur le site officiel de La Poste. Pour cela, les pirates utilisaient ce genre de lien, avec xxx remplacé par le nom du site où il veulent emmener leurs cibles :

http://laposte.fr/switch-site?switchSiteRequestURI=xxx

Si on plonge dans les détails de la redirection, cela renvoyait tout d’abord vers une adresse en Cutt.ly, un service utilisé pour raccourcir des URL. Pour tenter de noyer un peu le poisson, certains caractères de l’URL sont remplacés par leur équivalent ASCII (par exemple le « / » devient un « %2F »). La Poste n’a pas donné de détails techniques ni d’explications sur cette brèche, si ce n’est qu’elle est corrigée.

Cutt.ly a depuis mis un message d’avertissement sur une page avec un fond entièrement rouge, impossible de passer à côté : « STOP! Cuttly Safe Redirecting system blocked this redirect. This shortened link may be problematic. It does not comply with our Terms of Service and / or its redirect (source) has been reported as suspicious ».

Pour les plus tenaces, il est tout de même possible d’afficher le lien et de cliquer dessus pour le suivre. Et quand bien même, vous arrivez sur une page indiquant que « Ce compte a été suspendu ». De toute façon la question ne se pose plus puisque La Poste a bouché sa faille de redirection.

Une arnaque d’un nouveau genre donc, mais qui nécessite à la fois de déployer des moyens sur le terrain pour déposer dans les boites aux lettres les fameux avis de passage et d’exploiter une faille.

One more thing

Un Internaute demande sur Twitter « comment est-ce possible de pouvoir réserver un nom de domaine comportant une marque aussi importante que laposte avec des coordonnées claquées au sol ». Il précise sa pensée : « Là où, je veux venir c’est que cela ne devrait pas être aussi simple pour quiconque de pouvoir réserver un nom de domaine comportant le nom d’une marque aussi facilement ». Le nom de domaine dont il est question ici est pour rappel Laposteaide[.]fr.

Réponse de Stéphane Bortzmeyer : « À l’époque où c’était contrôlé, tout le monde râlait (bureaucratie ! fonctionnaires ! délai ! prix !) et prenait un .com à la place (y compris les gens qui demandaient des contrôles) ». « Je souhaite qu’on ne revienne pas à l’époque où il fallait être une entreprise ou une administration pour avoir droit à un .fr », ajoute Pierre Beyssac.

Rappelons en effet qu’au départ, seules les sociétés pouvaient réserver un nom de domaine en justifiant de leur nom pour commencer. Il faudra attendre 2006 pour l’ouverture aux particuliers. C’est un sujet sur lequel nous revenons en détail dans notre magazine #4, avec la plateforme Syreli de l’AFNIC et les noms de domaines soumis à autorisation préalable.

Source : nextinpact.com

Ashura

Nos scammers ont du talent