← Retour
Informatique

Votre compte Amazon a été désactivé

Cédrix · 30/05/2023

Mails frauduleux

J'ai identifié un e-mail frauduleux Amazon.

`Your Account has been disabled

Your password has been disabled due to multiple use of incorrect login details. For your security, we have disabled your Online account. To restore your account and continue the use of online account and stop further disabling of your amazon account.

What will I do ?

Click on the button below and sign me in to your account and update your information and we are sorry for any problem . Thank you

UPDATE MY ACCOUNT

Hope to hear from you soon,

Amazon Service Team .

© 2023 Amazon. All rights reserved.`

En français :

`Votre compte a été désactivé.

Votre mot de passe a été désactivé en raison de plusieurs tentatives de connexion infructueuses. Pour des raisons de sécurité, nous avons désactivé votre compte en ligne. Pour rétablir votre compte et continuer à utiliser votre compte en ligne, ainsi que pour éviter toute désactivation ultérieure de votre compte Amazon.

Que dois-je faire ?

Cliquez sur le bouton ci-dessous, connectez-vous à votre compte et mettez à jour vos informations. Nous nous excusons pour tout désagrément. Merci.

METTRE À JOUR MON COMPTE

Nous espérons avoir de vos nouvelles bientôt.

L'équipe du service client Amazon.

© 2023 Amazon. Tous droits réservés.`

Analyse du message

L'expéditeur

Dans cet exemple, l'adresse e-mail de l'expéditeur est admin@cnv-formation.com. Bien que cela puisse sembler légitime à première vue, il est important de noter que l'expéditeur prétend être Amazon Support, mais l'adresse e-mail ne correspond pas à un domaine associé à Amazon. Méfiez-vous des différences entre l'adresse e-mail de l'expéditeur et le nom de l'entreprise prétendument représentée.

Le lien présent dans le message

Dans cet e-mail, un lien est fourni pour prétendument identifier l'adresse e-mail de réception : http://account.login.notification.sqzgjfptizldxbqvaueh.hivegroup.biz/5kDWjV6InU?q=4979325635&id=503&e=adresse@mail.fr

Il est crucial de maintenir une vigilance constante face à de telles tentatives de phishing. Il est impératif de ne jamais cliquer sur des liens suspects ou fournis dans des e-mails non sollicités. Les cybercriminels recourent fréquemment à des techniques d'ingénierie sociale pour inciter les utilisateurs à divulguer leurs informations personnelles ou à infecter leurs appareils avec des logiciels malveillants.

Dans notre cas, il est important de noter qu'en cliquant sur le lien fourni, nous sommes redirigé vers une page blanche. Cependant, il est essentiel de comprendre que cela ne signifie pas nécessairement qu'aucune information n'a été transmise lors de cette redirection. Les attaquants peuvent utiliser diverses techniques pour masquer leur activité, y compris la redirection vers des pages vides.

De plus, on peut noter que le lien contenu dans le message redirige vers le domaine hivegroup.biz, qui ne semble pas être lié à Amazon ou à cnv-formation.com. Il convient également de souligner que le site cnv-formation.com affiche actuellement une page de non disponibilité, ce qui soulève davantage de doutes quant à la légitimité de l'e-mail reçu. Dans de tels cas, il est préférable de faire preuve de prudence et de contacter directement l'entreprise présumée par des moyens de communication officiels pour vérifier l'authenticité de la demande ou de l'information reçue.

En somme, il est primordial de rester vigilant face aux tentatives de phishing et de toujours vérifier attentivement les détails des e-mails suspects, tels que l'adresse e-mail de l'expéditeur, les liens inclus et la cohérence avec les informations connues sur l'entreprise prétendument représentée.

Décryptage technique

Examinons les autres informations de l'en-tête :

Message-ID: <0f27e14af9f7646f4a3079d272b69dc768db26@cnv-formation.com>

L'en-tête indique que le message provient du domaine "cnv-formation.com". Encore une fois, cela ne correspond pas au domaine d'Amazon. Si vous recevez un e-mail prétendant provenir d'une entreprise spécifique, vérifiez que le domaine de l'expéditeur correspond à celui utilisé par cette entreprise.

Received: from 36.91.14.228 (unknown [10.5.10.1])
    by mail.bulukumbakab.go.id (Postfix) with SMTP id A82893E9F0

Dans cet exemple, le message a été reçu à partir d'une adresse IP inconnue, "36.91.14.226", qui n'est pas associée à Amazon ou à un serveur de confiance. La localisation du serveur est souvent un indicateur important pour détecter les tentatives de phishing.

Examinons les informations DNS associées à cnv-formation.com :

❯ dig cnv-formation.com TXT

...
;; QUESTION SECTION:
;cnv-formation.com.     IN  TXT

;; ANSWER SECTION:
cnv-formation.com.  600 IN  TXT "v=spf1 +all"
cnv-formation.com.  600 IN  TXT "1|www.cnv-formation.com"

Les enregistrements DNS de type TXT indiquent des informations de configuration SPF (Sender Policy Framework) pour le domaine cnv-formation.com. SPF est un mécanisme utilisé pour spécifier les serveurs de messagerie autorisés à envoyer des courriers électroniques au nom d'un domaine spécifique.

Dans le cas de cnv-formation.com, l'enregistrement SPF indique v=spf1 +all, ce qui signifie que toutes les adresses IP sont autorisées à envoyer des courriers électroniques en utilisant ce domaine. Cela indique une configuration SPF très permissive, car le "+" après "spf1" signifie "tous les serveurs sont autorisés". Cela facilite l'usurpation d'identité ou le spam en utilisant ce domaine.

Il est recommandé d'examiner d'autres facteurs tels que la présence de DKIM (DomainKeys Identified Mail) et de DMARC (Domain-based Message Authentication, Reporting, and Conformance), ainsi que de prendre en compte d'autres techniques de protection contre le courrier indésirable, comme les filtres anti-spam.

Conseils d'usage

Commentaires

Aucun commentaire pour l'instant. Soyez le premier !

Laisser un commentaire
Un code de vérification sera envoyé à votre adresse email.