Mis à jour le 22/08/2023
Je viens de recevoir un message du Crédit Agricole me prévenant qu’un message m’attend sur mon espace personnel de leur site internet. Je sais tout de suite que c’est un email trompeur car ce n’est pas l’email que j’utilise avec ma banque. Par contre j’ai bien un compte au Crédit Agricole, donc j’aurais pu tombé dans le panneau. Surtout que la première chose à vérifier dans ces cas-là est l’email de l’expéditeur …
Comme vous pouvez le voir, l’email est messagerie@credit-agricole.fr
Un email qui paraît tout à fait légitime donc et je ne sais même pas comment ils peuvent utiliser le véritable nom de domaine du Crédit Agricole. Peut-être un problème de sécurité interne. J’ai envoyé un mail à mon conseiller pour qu’il s’en assure.
Cet email est donc très dangereux car l’adresse paraît légitime et va donc passer pas mal de filtres anti-spam. De plus, son contenu est rédigé en Français correct. Il manque juste les accents à l’avertissement qu’on ne lit jamais sous la ligne. Donc si j’avais reçu ce mail sur l’adresse email que j’utilise avec le Crédit Agricole, il y avait possibilité que je clique.
Pour l’exemple j’ai cliqué (en fait j’ai copié le lien avec un clic droit, j’ai ouvert une fenêtre de navigation privée et activé mon VPN, on ne sait jamais …). Et voilà la page piégée qui s’affiche :
La page qui s’affiche ressemble comme deux gouttes d’eau au site internet du Crédit Agricole. Mais manque de chance pour le pirate, il y a eu une refonte totale du site il y a peu, et le site actuel ne ressemble plus du tout à ça. La page n’est pas sécurisée et vous pouvez voir l’adresse internet qui n’a rien à voir avec credit-agricole.fr . Le domaine est en .ru, c’est à dire le suffixe correspondant à la Russie. Même si l’on sait que beaucoup d’arnaqueurs agissent depuis la Russie, ce suffixe n’est pas du tout la preuve que le malfrat s’y trouve. D’ailleurs, celui qui se trouve derrière cette arnaque doit je pense connaître le fonctionnement du site du Crédit-Agricole puisque parmi les cases à remplir, en plus du numéro de compte et du code à 6 chiffres, il est demandé le code postal car la banque fonctionne en caisses régionales. Quand vous cliquez pour vous connecter, un écran d’attente apparaît :
Que fait le malfrat pendant que vous visualisez cette page qui vous fait patienter ?
Il récupère les données que vous lui avez fourni et il va tout simplement se connecter au véritable site du Crédit Agricole avec votre numéro de compte et votre code à 6 chiffres. Heureusement me direz-vous, la banque a mis en place une identification à 2 facteurs. C’est à dire que vous devez renseigner également un autre code à 6 chiffres envoyé cette fois par SMS sur votre téléphone. Et oui, nul besoin de pirater le téléphone de la victime, puisque c’est la victime elle-même qui va le donner en le tapant dans la page suivante :
Dans cette page, la victime pense toujours qu’elle est en train de se connecter à son compte et tape le code qu’elle vient de recevoir sur son téléphone. De l’autre côté, le hacker en est au même stade de la connexion, mais lui sur le véritable site, et il sera connecté à votre compte en banque dès qu’il aura récupéré et renseigné le code SMS. Pour gagner du temps, quand la victime a cliqué sur confirmer, la même page réapparaît, comme si ça n’avait pas fonctionné. Ce qui l’amènera à retaper son code une ou deux fois de plus avant de se rendre compte de l’arnaque et de contacter sa banque. Ce temps perdu, le hacker l’utilisera à son profit.
À ce stade, vous devez vous dire « c’est bien joli mais si le truand se trouve en Russie ou dans un autre pays étranger, mon compte n’a pas la possibilité de faire de virement international ! ». On essaye de se rassurer comme on peut, mais vous pensez bien que la technique de ce phishing est rodée et je pense qu’elle doit même dater un peu. Si j’écris cet article c’est que je connais un cas avéré et dans ce cas-là, l’arnaqueur a fait un virement sur un autre compte en banque du Crédit Agricole qui ne sert que de transit car évidemment, l’argent sera vite transférer ailleurs ou retiré dans un guichet automatique, je ne connais pas du tout les techniques qui suivent.
Ainsi la victime se sera fait soulager de plusieurs milliers d’euros, dont elle ne reverra plus jamais la couleur puisque l’opération est due à une négligence de sa part et qu’il n’existe aucune assurance qui joue dans ce cas-là … Ou alors si vous connaissez des recours, faîtes-en part dans les commentaires, ce serait très intéressant, car ça n’arrive pas qu’aux autres. Tout le monde peut se faire avoir par ce genre de phishing, quand on a beaucoup de travail et de mails à traiter. À bon entendeur, salut.
Merci pour votre article et pour avoir été jusque-là avec cette tentative de phishing !
Il explique très bien les étapes associées et les illustrations sont un vrai plus par rapport à ce cas d’école qui continue sans surprise d’être massivement exploité (et dire qu’il y a même la page pour le code du SMS désormais…).
Ces illustrations peuvent également permettre à des victimes de « tiquer » sur les pages par lesquelles elles sont passées. Gros avantage, merci pour cela.
Je suis rapidement tombé sur votre article en recherchant l’adresse mail frauduleuse (vous vous doutez de la manière dont j’en ai eu connaissance…).
Comme vous, je n’explique pas qu’ils aient pu exploiter ce nom de domaine. Le mail adressé à votre conseiller ne semble pas avoir abouti puisque je vous confirme que cette adresse est toujours exploitée pour mener des activités de phishing de masse. Peut-être pourriez-vous le relancer sur le sujet ?
En espérant que cela puisse faire bouger les choses.
(je ne suis pour ma part pas chez cette banque)
Même en étant sensibilisé sur le sujet, vous l’avez dit, personne n’est à l’abri de se faire avoir et il ne suffit que d’une fois parmi les centaines/milliers qu’on peut recevoir à longueur de temps…
Merci beaucoup pour ce retour 😀
En fait j’ai appris qu’il y avait des logiciels qui permettaient de faire afficher n’importe quel email comme expéditeur, mais ce n’est pas cet email qui envoie réellement le message mais un mail caché. On peut ainsi se faire passer pour le président de la république si on veut …