Sophisticated Google
Phishing Scam !??!
Cette réécriture à propos de l'article original est produite par Guilty Coookie, en date du 25/04/25.
Titre en français :
Grâce à une usurpation d’identité compliquée, un expéditeur parvient à vous envoyer un courriel
de type frauduleux et orienté ?
Avertissement :
L'écriture d'articles pour moi est un plaisir que je souhaite simplement partager. Je ne désire pas m'approprier l'idée originale, ni même l'écriture, mais d'agrémenter une traduction en français. Puisqu'il s'agit de lire un article, j'ai sélectionné les caractéristiques de rédaction suivantes :
– Ceci n'est pas un manuel
– Aucune décision n'est prise à la place du lecteur
– Court, bref, aucune orientation politique, le moins partisan possible
– L'aide à la correction a analysé le texte pour atteindre un style le plus général possible
– Agrémenter de quelques liens importants, dans le but de documenter le propos de l'article
Afin de réaliser le partage, j'informe les lecteurs que je ne peux pas être tenu responsable d'une mauvaise lecture ou même d'une mauvaise compréhension. Je peux me signaler une erreur, une omission ou tout autre point. Les réponses dénuées de sens positif ne seront pas considérées. Vous êtes perçu comme étant informé, même si vous n'avez pas lu ces lignes. Merci de lire l'avertissement.
Article original.
La partie sélectionnée de l'article.
"""
Dans le cadre d'une technique d'hameçonnage sophistiquée (USURPATION), les attaquants ont exploité une faille qui leur permettait d'envoyer des courriels qui semblent provenir des systèmes de chez Google. Ces courriels passent les contrôles d'authentification standard, y compris le Domain Keys Identified Mail (DKIM), ce qui pourrait diriger les destinataires en direction de sites Web frauduleux conçus pour recueillir les identifiants de connexion.
Lorsqu'ils sont transférés dans la boîte de réception Gmail d'un destinataire, les courriels restent signés DKIM et qui paraissent authentiques, puisque DKIM vérifie uniquement que le contenu et les en-têtes, et non le contexte. Une technique similaire a été utilisée récemment dans des attaques d'hameçonnage contre les utilisateurs de PayPal.
"""
Parlons un peu du contexte!
Il reste encore beaucoup de travail à faire, en plus d'ouvrir la boîte de courriels et de jeter les pourriels. Nous oublions souvent d'examiner certains aspects qui peuvent faire la différence. L'observation de certains détails est très importante, ne vous inquiétez pas, c'est une petite liste non exhaustive :
1. La composition du texte (orthographe et grammaire, dans la langue respective),
2. Les aspects du graphisme (une exécution claire et distincte, fiable),
3. La typographie est importante à plus d'un égard,
4. Ne pas cliquer sur un lien sans vraiment avoir réfléchi à sa destination ou à ce qui peut déclencher (afficher l'original, si vous voulez voir l'adresse de destination, cette affichage vous montre le code original du courriel [c'est obligatoire]),
5. Ne pas afficher les images originales au possible ? Il faut régler le lecteur de vos courriers pour qu'il vous demande votre autorisation (on peut cacher du code exécutable dans les images).
6. Quelque chose de pas courant, inattendu, pas normal peut être un signe, que cela soit visuel ou une question, une demande mal formulée, une suggestion appropriée ou pas !
7. Être attentif à la qualité, ainsi qu'à la tournure du message qui vous est destiné.
Un complément d'information.
https://proton.me/blog/fr/what-are-email-headers [fr-version].
[google-search [en] email header list
[google-search [fr] list des en-tête pour courriels
Certaines informations importantes concernant les courriels se trouvent dans leur en-tête [afficher l'original, pour Gmail]. On peut soit utiliser un logiciel pour analyser les en-têtes [analyse d'en-tête] ou en faire la lecture par soi-même. C'est plus long, mais plus instructif (de toute manière, le Web est là pour nous). Tous les paramètres sont importants, mais ceux-là sont pour le premier coup d'œil, ils informent que le courriel passe les validations par signature. Les deux versions utilisées de la notion de l'adresse IP sont utilisées, IPv4 et IPv6 c'est obligatoire et normal !
Authentification SPF, DKIM et DMARC : Gmail protège vos e-mails en vous assurant que les messages que vous envoyez et recevez sont authentifiés. Des messages non authentifiés peuvent être envoyés dans le dossier "Spam". Gmail authentifie les messages avec [google doc interne] SPF, DKIM et DMARC.
[documentation de chez google] https://support.google.com/a/answer/9948472?hl=fr&visit_id=638811710548286471-2459414740&p=show_original&rd=1
SPF: PASS with IP 2a01:111:f403:2417:0:0:0:706 Learn more
DKIM: 'PASS' with domain accountprotection.microsoft.com Learn more
DMARC: 'PASS' Learn more
ARC-Seal: i=2; a=rsa-sha256; t=1745354502; cv=pass;
Trois autres types d'analyses existent aussi, MTA-STS, TLS-RPT et BIMI.
Un exemple sur l'utilisation d'un en-tête de courriel, en affichant l’original :
1. Afficher l'en-tête original du courrier à analyser.
2. Un nombre de lignes techniques (en dehors du corps du courriel lui-même, le message qui vous est adressé) qui est beaucoup trop grand, peut être révélateur d'un problème (les en-têtes les plus courts sont les meilleurs) ?
3. Chercher l'adresse de l'expéditeur, elles sont présentes à des places différentes (de la lecture attentive en perspective) ?
<ARC-Authentication-Results: i=1; xxxxxxx.com 1; spf=pass (sender ip is XXXXX I_HIDE_IP XXXXX) smtp.rcpttodomain=xxxxxx.ch smtp.mailfrom=xxxxxx.ch; dmarc=pass>
4. Trouver un programme en ligne (sur le Web) pour les requêtes DNS inversées avec Lookup (https://mxtoolbox.com/Reverse Lookup.aspx) qui est un outil parmi d'autres.
5. Pour faire la requête, transmetter l'adresse IP à l'aide du champ prévu à cet effet, patienter pour avoir un résultat.
(Reported by XXX I_HIDE_DOMAINE XXX on 4/25/2025 at 1:47:52 AM (UTC -5)).
6. Allez chez (virustotal.com), dans le champ des recherches (URLS, DOMAINES), informer le nom du domaine à analyser et à inspecter le résultat. Si vous voulez regarder les autres informations, elles sont aussi intéressantes et informatives.
7. Aussi, faites des recherches depuis le Web, pour mieux comprendre les aspects techniques.
Une partie d'un en-tête de courriel, pour voir à quoi cela peut ressembler.
Delivered-To: aka.hkt@gmail.com
Received: by 2002:a50:2485:0:b0:28e:9417:65a4 with SMTP id v5csp6134365ece;
X-Google-Smtp-Source: AGHT+IHtuF5nObYNKjcxlnRos3MRgVDOfJLIQCs2KCEKleAE3IBV2Kxt5fosRPa1emOdrXx3O1hr
X-Received: by 2002:a05:622a:1316:b0:476:ac73:c3f6 with SMTP id d75a77b69052e-48131227284mr177581621cf.4.1745878299150
[...]
...[spf=pass] (google.com: domain of m-4sguzn6u5r5n9wvqhi9fi5znm5o0ayd76y17c6q7xnxo3g7tak0yoa5o@bounce.linkedin.com designates 2620:109:c003:104::203 as permitted sender) smtp.mailfrom=m-4sguzn6u5r5n9wvqhi9fi5znm5o0ayd76y17c6q7xnxo3g7tak0yoa5o@bounce.linkedin.com;
Return-Path: <m-4sguzn6u5r5n9wvqhi9fi5znm5o0ayd76y17c6q7xnxo3g7tak0yoa5o@bounce.linkedin.com>Received: from maile-dc.linkedin.com (maile-dc.linkedin.com. [2620:109:c003:104::203])
Received: from maile-dc.linkedin.com (maile-dc.linkedin.com. [2620:109:c003:104::203])
[...]
Des outils qui peuvent être utiles pour
comprendre le fonctionnement d'un courriel.
https://mxtoolbox.com/EmailHeaders.aspx
Si vous voulez tester un programme en ligne, prenez un en-tête d'un courriel qui se trouve dans votre récipient. Faites des tests avec le programme cité ci-dessus. Il vous faut copier seulement les informations de l’en-tête (apprenez, c'est si difficile que cela. Si vous faites des erreurs, ce n'est pas grave, car il n’y aucune conséquence importante).
https://toolbox.googleapps.com/apps/messageheader/analyzeheader
De l'expéditeur (email-dc.linkedin.com) à mon récipient (2002:a50:2485:0:b0:28e:9417:65a4), ce en termes de région des services de chez google, il y a un autre service smtp (interne) de chez google entre l'expéditeur et le destinataire.
GOOGLE reçois le courriel, étape: [0] - à: 0 sec - de: maile-dc.linkedin.com → pour: mx.google.com protocole: ESMTPS en date du: 4/26/2025, 10:09:26 PM GMT+2
GOOGLE analyse l'expéditeur, étape: [1] - à: 1 sec → pour: 2002:a05:6808:3092:b0:3fe:af0a:f8da protocole: SMTP en date du: 4/26/2025, 10:09:26 PM GMT+2
GOOGLE envoie au récipien destinataire, étape: [2] - à: 1 sec → pour: 2002:a50:2485:0:b0:28e:9417:65a4 protocole: SMTP en date du: 4/26/2025, 10:09:27 PM GMT+2
Le mot de la fin.
Si votre boîte aux lettres électronique affiche trop de pourriels (ce qui ne devrait plus être le cas actuellement, car notre technologie est aboutie dans un sens général), vous pouvez utiliser des filtres, mais si cela continue vraiment, il vous faudra trouver un meilleur gestionnaire d'emails (cet argument est vraiment à prendre au sérieux).
Il est bon d'envisager un auto-audit des habitudes de navigation et, en fonction de votre envie, de changer celles-ci un peu. Le temps que l'on passe en ligne laisse des traces, même infimes.
Ceci permet de créer un sillage qui peut être suivi par des bots (robots) ou des personnes très intéressées par ces informations (de toute manière, le sillage est analysé par des instances techniques légales). Bien sûr, il y a parmi ces informations des aspects légitimes (à vous de prendre des dispositions en fonction de vos envies).
Réfs:
https://www.mitre.org
https://attack.mitre.org
https://d3fend.mitre.org
https://www.virustotal.com
https://www.joesandbox.com
https://www.capesandbox.com
https://www.filescan.io
Bien pour tester les antivirus (les antivirus doivent
pouvoir lire dans un dossier qui est zippé), attention à
la manipulation [windows defender].
(!!! laissez les payloads dans le fichier qui est zippé !!!)
https://bazaar.abuse.ch
https://www.exploit-db.com
https://community.spiceworks.com
https://forum.hackersploit.org
Others useful stuff:
[reverse dns query or dns lookup] https://mxtoolbox.com/ReverseLookup.aspx
[RFC about emails headers] https://www.iana.org/assignments/message-headers/message-headers.xhtml