Re: Un phishing amusant

Liste des GroupesRevenir à fcu lecteurs-de-news 
Sujet : Re: Un phishing amusant
De : jbelinPASdeSPAM (at) *nospam* oryva.net (Jacques Belin)
Groupes : fr.usenet.abus.d fr.comp.mail
Date : 30. Nov 2024, 18:01:46
Autres entêtes
Message-ID : <20241130180146.E544.5FFFB157@oryva.net>
References : 1
User-Agent : Becky! ver. 2.75.04 [fr] with BkNews Plug-In ver. 2.0


Le mercredi 27 novembre 2024 16:17:26,
Olivier Miakinen <om+news@miakinen.net> a écrit:

[copie et suivi vers fr.usenet.abus.d]
 
Bonjour,
 
Je viens de recevoir un message de phishing assez particulier.
 
Son titre est « Un message récent est maintenant accessible. », l'adresse de
l'expéditeur présumé est la « Direction Générale des Finances Publiques »
suivie d'une adresse chez dgfip.finances.gouv.fr, et bien sûr ceux qui affichent
par défaut la partie HTML des messages y trouvent un lien à cliquer qui semble
aller vers le site des impôts mais va en réalité vers un site pirate.
 
Mais moi, parce que je préfère afficher par défaut les messages en texte brut,
voici le contenu que j'ai découvert :
 
<cit.>
??? ?? ?? ?????? ?????????? ????????? ?????? ??? Postfix ??????.
</cit.>
 
Étonnant, non ?
 

Ben moi, j'ai vu passer le mois dernier une version encore plus marrante
de ce mail "de la DGIFIP"...

Précédant la partie MIME que tu cites (qui ne contenait pas les <cit> et
</cit>), il y avait une autre partie MIME (codée en text/plain
charset=us-ascii, encoding 7bit) contenant un texte composé de séries de
8 caractères '0' et "1" se présentant ainsi :

-------
    01000110 01110010 01101111 01101101 00111010 00100000 01010011 01000101 01010010 01010110 01001001 01000011 01000101 00100000 01000100 01000111 01000110 01001001 01010000 00100000 00111100 01101110 01100101 00101101 01110000 01100001 01110011 00101101 01110010 01100101 01110000 01101111 01101110 01100100 01110010 01100101 01000000 01100100 01100001 01110100 01100001 00101110 01100111 01101111 01110101 01110110 00101110 01100110 01110010 00111110
    01010100 01101111 00111010 00100000 01110011 01110101 01110000 01110000 01101111 01110010 01110100 01000000 01100111 (suite de la ligne supprimée pour raisons de confidentialité)
    01010011 01110101 01100010 01101010 01100101 01100011 01110100 00111010 00100000 00001001 01000100 01101111 01100011 01110101 01101101 01100101 01101110 01110100 00100000 01110010 11000011 10101001 01100011 01100101 01101101 01101101 01100101 01101110 01110100 00100000 01101101 01101001 01110011 00100000 11000011 10100000 00100000 01100100 01101001 01110011 01110000 01101111 01110011 01101001 01110100 01101001 01101111 01101110 00101110

    Text Body:
    11011001 10000111 11011000 10110000 11011000 10100111 00100000 11011001 10000111 11011001 10001000 00100000 11011001 10000110 11011000 10110101 00100000 11011000 10100111 11011001 10000100 11011000 10101000 11011000 10110001 11011001 10001010 11011000 10101111 00100000 11011000 10100111 11011001 10000100 11011000
     ..... (je ne mets pas tout)
    
    HTML Body:
    00001010 00100000 00100000 00100000 00100000 00001010 00100000 00100000 00100000 00100000 00001010 00111100 01100100 01101001 01110110 00100000 01110011 01110100 01111001 01101100 01100101 00111101 00100010 01100010 01100001 01100011 01101011 01100111 01110010 01101111 01110101 01101110 01100100 00101101 01100011 01101111 01101100 01101111 01110010 00111010 00100000 00100011 01100101 00110101 01100101 00110101 01100101 00110101 00111011 00100010 00111110 00001010 00111100 01100100 01101001 01110110 00100000 01110011 01110100 01111001 01101100 01100101 00111101 00100010 01100010 01100001 01100011 01101011 01100111 01110010 01101111 01110101 01101110 01100100 00111010 00100000 00100011 00110000 01000010 00110110 01000010 01000001 00111000 00111011 00100000 01100010 01100001 01100011 01101011 01100111 01110010 01101111 01110101 01101110 01100100 00101101 01100011 01101111 01101100 01101111 01110010 00111010 00100000 00100011 00110000 01100010 00110110 01100010 01100001 00111000 0011
    .... (là aussi je coupe)    
    
--------

Of course, je me suis amusé à décoder ce qui ressemblait furieusement à
du binaire (enfin le début des lignes, je n'avais pas que ça à faire, même
c'est toujours marrant de ressortir sa vielle table ASCII) et me suis
aperçu que les trois première correspondaient au contenu des entêtes
"From:", "To:" et "Subject:" du message !!!

Je n'ai pas décodé la partie "Text Body" qui semble à première vue correspondre
à la partie MIME que tu cites (des caractères non-ASCII avec vers la fin
quelques caractères ascii), ni la partie "HTML body" qui doit
logiquement correspondre à la fin du message...


Bref, on savait depuis longtemps que certains spammeurs pouvaient mettre
n'importe quoi (même un paragraphe tiré d'un roman) pour remplir la
partie texte afin de satisfaire les anti-spams, mais là le mec s'est
surpassé, puisqu'il est allé jusqu'à personaliser et encoder la deuxième
ligne avec l'adresse du destinataire du spam... %-)



A+ Jacques.
--
Le dernier Homme connecté sur le Net regardait d'anciens sites Webs.
"Vous avez du courrier" apparut sur l'écran...
--------------------------- adapté d'une courte histoire de Fredric Brown


Date Sujet#  Auteur
10 May 25 o 

Haut de la page

Les messages affichés proviennent d'usenet.

NewsPortal