Email frauduleux: SPAM CAF – Caisse d’Allocations Familiales

Je viens de recevoir un mail sur un honeypot qui ressemble grossièrement à un email frauduleux, une arnaque SPAM utilisant l’image de la CAF (Caisse d’Allocations Familiales). C’est un mail frauduleux et grossier quand on est habitué mais je suis sûr que plein de gens peuvent se faire avoir.

Dans ce billet je vous explique comment au premier coup d’oeil je détecte un email frauduleux, comment je confirme techniquement que c’est une arnaque et tout cela… En espérant vous aider à ne plus vous faire avoir.

Les éléments visuels

En fait, sur cet email, rien n’indique qu’il peut s’agir d’un mail officiel (légitime) de la CAF. Même la charte graphique de la CAF n’est pas respectée, le logo officiel n’apparaît pas. Les escrocs jouent avec l’instantanéité d’Internet, tout va vite. Je reçois un mail qui me dit que c’est la CAF, que je dois récupérer 390€ alors PAF! Je clique ! Et bien non méfiez-vous, soyez suspicieux et prenez du recul avant de faire quoi que ce soit.

Les liens

Je passe ma souris sur les liens, ils pointent sur un site que ne ressemble pas du tout au site de la CAF ! http:// triadify.com /wp-content/themes/twentyfourteen/inc/caf.fr/Caisse-allocations-familiales/ C’est un vulgaire site WordPress qui doit faire tourner un paquet d’arnaques vu la structure du lien. Un autre signe qui doit vous alerter, le lien n’a pas de certificat SSL, en d’autres termes l’URL n’est pas en HTTPS. Si vous deviez vous authentifier vous taperiez vos login / mot de passe en clair sur Internet et vous pourriez être piraté. Un certificat SSL de bonne qualité coûte cher alors les escrocs ne les utilisent pas.

WHOIS

Vous pouvez savoir qui est le propriétaire d’un nom de domaine sur Internet. Il suffit d’aller sur whois.domaintools.com. En tapant le nom de domain “triadify” vous obtenez quelques informations intéressantes. Ces informations confirment que c’est un email frauduleux, ça sent l’arnaque !

Regardez ce qui se passe :

http://whois.domaintools.com/triadify.com : Le registrar est GODADDY.COM, LLC, si vous saviez le nombre de domaines que j’ai checké ici dont le registrar était celui-ci ! Et pourquoi un site institutionnel français serait hébergé aux US ?
http://whois.domaintools.com/caf.fr : Orange et Oleane apparaissent dans les hébergeurs, ça sent meilleur. Le domaine est au nom de la CAISSE NATIONALE DES ALLOCATIONS FAMILIALES depuis 1998. L’IP et à Sophia Antipolis, etc…

Email frauduleux : Je ne me fais plus avoir !

En guise de conclusion, une seule bonne technique à retenir :

Je ne clique jamais sur les liens contenus dans les mails.

Que vous receviez un mail d’une banque, d’une assurance ou quoi que ce soit qui est censé être protégé par un accès privé (compte, login plus mot de passe), ne cliquez pas sur les liens. Allez directement sur le site de l’organisme en question et là vous verrez bien sur votre compte si on vous doit de l’argent ou si vous en devez.

Je ne peux clore cet article sans préciser que la CAF n’y est pour rien et qu’elle ne peut pas éviter cela. Comme toutes les marques ou institutions victimes de ces arnaques. A part prévenir les usagers / clients qu’il y a des risques comme ils le font sur Attention aux courriels et sites Internet frauduleux.

Dernier point sur les emails frauduleux…

Si vous êtes client Sophos XG Firewall, Sophos Endpoint, etc, vous êtes protégé par la web protection. Si vous cliquez malencontreusement sur un lien de ce type vous obtiendrez le message suivant, vous êtes donc protégés.