David Madore's WebLog: Jouons avec les phishers

[Index of all entries / Index de toutes les entréesLatest entries / Dernières entréesXML (RSS 1.0) • Recent comments / Commentaires récents]

↓Entry #1661 [older| permalink|newer] / ↓Entrée #1661 [précédente| permalien|suivante] ↓

(mardi)

Jouons avec les phishers

Parfois, quand je reçois un mail de phishing (le dernier en date essayant de se faire passer pour un mail de chez Amazon.com pour me faire cracher un numéro de carte de crédit et d'autres informations invraisemblables[#]), je m'amuse (après avoir vérifié qu'il n'y avait aucun trou de sécurité récemment répertorié dans mon navigateur…) à suivre leur lien et leur fournir des informations fantaisistes mais vaguement plausibles. J'ai un générateur de numéros de carte VISA aléatoires[#2], donc je leur donne ça (avec un code CCV tout aussi aléatoire, et même un code PIN s'ils en demandent un[#3], etc.). Comme adresse, je mets celle de l'Élysée, ou de la DST

Je suppose que tout ceci n'a absolument aucun effet à part m'amuser, mais ça m'amuse toujours de m'imaginer que ça puisse en avoir.

[#] Précisément, il me renvoyait sur http://89.19.5.162/https://www.amazon.com/gpsign-in.htmlie=UTF8&email=&disableCorpSignUp/member-login=587544sdf545454sd547s45d45sd57s54d22525sd474f5g545gdf255522xz552255/gpsign-in.htmlie=UTF8&email=&disableCorpSignUp.html (si vous voulez voir ce que ça donne, copiez cette adresse dans votre barre de navigateur — je préfère éviter de faire un lien — et dépêchez-vous parce que j'imagine que ce genre de petite fraude ne dure jamais longtemps ; sinon, attendez l'offre suivante qui ne tardera pas à arriver dans votre boîte aux lettres).

[#2] Aléatoire mais vérifiant quand même la condition de validité la plus basique. Il y a une raison qui fait que ce genre de chose est utile : j'utilise des numéros de carte à usage unique. Malheureusement pour avoir un numéro à usage unique il faut communiquer au site de la banque le montant jusqu'auquel on autorise à prélever dessus ; or beaucoup de sites marchands ne vous donneront le montant final et définitif de votre commande (frais de port inclus) qu'après que vous aurez entré votre numéro de carte. Dans ces cas-là, je commence par entrer un numéro aléatoire pour pouvoir passer à l'étape suivante, et quand j'ai la confirmation finale de commande avec le montant définitif, je génère un numéro à usage unique pour ce montant, et je reviens en arrière pour mettre ce vrai numéro de carte à la place du numéro aléatoire.

[#3] Je suis quand même impressionné qu'il y a des gens qui consentent à donner leur code PIN de carte bancaire si on leur demande dans un formulaire ! J'aurais espéré que le simple fait de demander ça soit tellement énorme comme preuve de fraude que du coup le phisher obtiendrait dix fois moins de réponses à son formulaire. Soit ces phishers sont stupides (ce qui est probable, en fait), soit les gens sont encore plus naïfs que je l'imagine.

↑Entry #1661 [older| permalink|newer] / ↑Entrée #1661 [précédente| permalien|suivante] ↑

[Index of all entries / Index de toutes les entréesLatest entries / Dernières entréesXML (RSS 1.0) • Recent comments / Commentaires récents]