Alors ? Phishing de la part de Paypal ? (ou pas) ?

Bonjour, on va à la pêche aujourd’hui (ou pas)…

Tout d’abord, ne pas confondre Paypal et Ραурɑl … Je vous renvoie à mon article Collections de liens où vous trouverez quelque chose sur les homoglyphes…

J’ai donc reçu un mail de Paypal (et c’est très probablement un message authentique, car autour de moi tous ceux qui ont un compte Paypal l’ont reçu aussi)

On vous l’explique et on vous le chante sur tous les tons: quand vous recevez un mail de ce genre, redoublez de prudence.

Quels sont les signes pouvant déterminer le vrai du faux ? Contrôlez ceci:

  • les liens dans le message: passez la souris sur les liens sans cliquer, examinez scrupuleusement l’adresse web sous-jacente
  • les liens qui vous envoient vers un site web qui requiert vos login/password sont douteux
  • pour les experts, on peut examiner quel est le serveur mail qui vous a transmis ce message

Vous êtes probablement connectés (authentifiés) en permanence à Facebook, Gmail, Hotmail, etc. Un site malveillant peut utiliser ces authentifications pour faire des choses désagréables derrière votre dos, comme publier du spam sous votre nom à vos contacts. C’est une raison supplémentaire pour ne pas visiter des sites web à partir de liens reçus par e-mail.

La recommandation la plus sécurisante est d’ouvrir une nouvelle fenêtre de navigateur en mode privé (control-shift-P), et d’aller visiter le site de votre banque ou Paypal en tapant son adresse ou via vos favoris.

Passons maintenant à l’objet de cet article, à savoir un mail douteux reçu aujourd’hui.

30082016_154025Renvoyer vers paypal-communication.com est une méthode digne des pirates.

S’ils avaient fait les choses comme il faut, ils auraient utilisé communication.paypal.com qui se trouve dans leur “propriété”.

gyroSi je peux vous donner un très mauvais conseil, le nom communication-paypal.com (avec le trait d’union) est disponible à la vente à l’heure où j’écris cet article …

C’est MAL mais ce n’est pas tout.

La gestion de serveurs mail, c’est un de mes hobbies, on va regarder d’un peu plus près cette chose horrible que sont les en-têtes SMTP et qui n’ont presque plus de secrets pour moi.

Return-Path: <bounce-HP2v200000156db21b0408489e3f4bbe5cfc0250@mail.paypal.be>
...
Received: from mta107b.pmx1.epsl1.com (mta107b.pmx1.epsl1.com [142.54.244.107])
      (using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
      (No client certificate requested)
      by v2.dmmail.eu (Postfix) with ESMTPS
      for <fredericXdemees.net>; Tue, 30 Aug 2016 13:07:13 +0200 (CEST)
...
Reply-To: "noreply@mail.paypal.be"
      <noreply-HP2v200000156db21b0408489e3f4bbe5cfc0250@mail.paypal.be>
Subject: =?UTF-8?Q?Mise_=C3=A0_jour_des_contrats_d'utilisation_PayPal?=
From: "PayPal" <paypal@mail.paypal.be>
To: fredericXdemees.net
Date: Tue, 30 Aug 2016 11:07:13 +0000

Que faut-il comprendre là-dedans ? Le message a été déposé sur mon serveur mail par une machine qui appartient à epsl1.com et non paypal.com. Encore un possible signe d’usurpation.

C’est encore MAL mais ce n’est pas encore tout.

En cas de doutes sur un message reçu se prétendant de chez eux, Paypal recommande de le retransférer à l’adresse spoof@paypal.fr . Ce que j’ai donc fait. J’ai retransféré l’e-mail en le précédant de ceci :

Bonjour,

J'ai reçu cet e-mail qui semble authentique ou bien est un phishing très
bien imité.
Néanmoins les liens redirigent vers
https://epl.paypal-communication.com/...

paypal-communication.com n'est pas paypal.com

J'aurais pu avoir confiance dans communication.paypal.com mais
paypal-communication.com ne me garantit pas que je vais voir une page
authentique de paypal.

De la même manière je n'aurais aucunement confiance dans une adresse telle
que service-paypal.com ou similaire.

S'il s'avère que ce mail est authentique, svp n'utilisez pas les méthodes
et procédés des truands, sinon plus personne ne s'y retrouvera.

Au plaisir de vous lire,

Frédéric De Mees
Belgique


La réponse de Paypal est arrivée un peu plus d’une heure plus tard:

Subject:   Votre question à la parodie et le phishing (KMM57008107V61779L0KM) :ppMC 
From:   spoof@paypal.fr 
Date:   Tue, August 30, 2016 14:57 
To:   "Frederic De Mees" <fredericXdemees.net> 
Priority:   Normal 

Bonjour Frederic De Mees, 

Le site internet que vous signalez est frauduleux. Ce type de site vous 
incite à entrer des informations personnelles telles que des numéros de 
cartes bancaires, des codes PIN ou des mots de passe.

Si vous avez saisi des informations financières ou personnelles sur un 
site frauduleux : 

• Changez immédiatement votre mot de passe et vos questions secrètes. 
• Contactez votre banque ou la société qui a émis la carte bancaire 
associée à votre compte PayPal et informez-les de la situation. 
• Examinez votre historique de transactions PayPal pour vous assurer 
qu'il ne présente aucune transaction non autorisée.

Pour en savoir plus sur les sites frauduleux et sur la sécurité en 
ligne, cliquez sur le lien Sécurité en bas de chaque page PayPal.

Cordialement,

PayPal

Copyright © 1999-2016 PayPal. Tous droits réservés. 
PayPal (Europe) S.à r.l. et Cie, S.C.A. Société en Commandite par 
Actions 
Siège social : 22-24 Boulevard Royal L-2449, Luxembourg 
RCS Luxembourg B 118 349

Conclusion, c’est un faux !

(et pourtant c’est un vrai, mais Paypal l’ignore)

 

 

 

 

Scarlet, il est temps de renouveler votre matériel !

Ce 6 août, nous subissons une panne d’internet pour la troisième fois en un an !
Ce n’est pas une panne franche, la synchro VDSL est ok et la vitesse est tout-à-fait correcte (70 mégabits) mais certains sites sont accessibles et d’autres pas.

Cette panne semble affecter une grande partie de l’est de Bruxelles et de la périphérie Est.

Après un redémarrage de la Scarlet Box (une Bbox 3 Belgacom – sans le logo Belgacom), on a de nouveau des sites injoignables, parfois les mêmes, parfois des autres.

J’ai l’impression qu’un équipement en amont n’est pas capable de mémoriser toutes les tables de routage, par exemple un vieux routeur doté de trop peu de RAM.

Alors, Mesdames et Messieurs de Belgacom Proximus, vous le faites exprès ou quoi ? Vous voulez torpiller votre filale low-cost ? C’est plus facile de faire fuir les clients que de les mettre dehors… il suffit de bien laisser pourrir la situation.

Au même moment, les clients Belgacom Proximus dans les mêmes quartiers n’éprouvent pas de problème.

Le fait que le problème est survenu 2 fois avant aujourd’hui, chaque fois “réparé” (avec un tube de pritt ?) que le support répond invariablement que je suis le seul jusque quand on leur met le nez devant l’évidence, me fait dire que Scarlet n’a plus les finances ou la compétence pour faire une réparation définitive.

C’est grave et on doit en tirer les conclusions.

Pannes: le 27 janvier, 18 juillet, et aujourd’hui 6 août avec des prémices le 5 août.

Voir https://forum.adsl-bc.org/viewtopic.php?f=11&t=94041 et https://www.facebook.com/ScarletBelgium/posts/10153915064129423

 

Edit 8 août: Scarlet a posté ceci sur sa page Facebook
Beste Frederic en Jonas,

Er is momenteel een storing in de regio Halle-Wezembeek-Kraainem. Het betreft dezelfde storing als einde juni.

• Proximus werkt aan een oplossing.
• Het is voorlopig niet bekend wanneer het probleem opgelost zal worden.

Matteo, jouw klantgegevens konden we niet vinden op basis van je naam, maar gezien je in Halle woont is de kans groot dat je ook getroffen bent door de storing.

mvg
Scarlet

et
Jullie zijn inderdaad eveneens getroffen door de storing op de met een storing kampende LEX/BAS MSR02MAR7/02HAL en MSR02MAR7/02WEZ. Proximus werkt aan een oplossing 🙂

Ca confirmerait mes prédictions ?

STIB – Mobib – Arnaques en tout genre…

Bonjour,

Le système MOBIB de la STIB est décidément tout sauf un fleuron technologique du savoir-faire belge.

Aujourd’hui la STIB vient d’admettre que 19 voyages s’étaient évaporés de ma carte, soit 26.6€.mobib poubelle

Pour cela il a fallu que je me batte.

Le 7 juin, un portique d’accès au métro m’a refusé l’accès. J’étais certain de ne pas avoir encore épuisé la recharge de ma carte.

Puisque je me suis retrouvé bloqué, j’ai donc fait une recharge de 3x 10 voyages. Outre ceux juste rechargés, j’ai constaté que deux autres contrats étaient marqués “Expirés” (et non “Solde: 0 Voyages”).

J’ai fait des photos du distributeur qui m’a affiché “Expiré”.

Je me suis plaint via leur site.

On m’a répondu que les contrats sont expirés au bout de 3 ans.

Après un 2è échange de mail où j’ai dit être un utilisateur régulier, on m’a répondu que les voyages ont été consommés et que “Expiré” est normal, et qu’un contrôle dans la base de données centrale concorde avec ma Mobib.

Plus tard, après consommation d’un des contrats 10 voyages, le distributeur où j’ai vérifié le solde m’a affiché “Solde: 0 V” et j’ai à nouveau pris une photo.

Avec tout ça j’ai redemandé d’ouvrir mon dossier puisque “Expiré” ne veut pas dire “Solde 0”, pièces à l’appui.

Voici un extrait de la réponse: “Après analyse approfondie avec notre département service après-vente, nous avons retrouvé 5 contrats JUMP actifs et 1 contrat JUMP inactif. Il semblerait que la synchronisation sur votre carte ne se fasse pas correctement. […]
Nous vous invitons donc à vous rendre en BOOTIK afin de faire vérifier […]”

Aujourd’hui je suis sorti de leur BOOTIK avec une carte MOBIB de remplacement, on a transféré le contenu de mon ancienne carte et remis 19 voyages qui avaient “disparu”.

Donc, non seulement d’être le seul pays au monde où il est quasiment impossible de lire le solde de la carte au moment de pointer dans un flux de voyageurs, en plus on ne peut pas s’y fier !!

Bhaa c’est de la faute de l’ordinateur … ou de ceux qui le programment, tout le monde sait ça !

En 2009 la STIB était déjà la risée du journal “Le Monde” (et ils avaient raison, Mobib n’est pas anonyme. Ce qui vient de se passer en est la preuve)