Analyse header mail phishing

al85 · 02/10/2012, 21h14

Bonjour

J'ai reçu aujourd'hui un email d'un ami me demandant de l'argent. Très suspect comme email, j'ai regardé les headers, et il y a des choses qui ont attiré mon attention

Dans ces header, on trouve 4 adresses mails différentes :

mon@email.com : mon email, destinataire du message
email@demonami.com : l'email de mon ami, enregistré dans men contacts
email@commeceluidemonami.com : un email presque identique à celui de mon ami. Une lettre a été supprimée pour avoir un truc qui ressemble et qu'on ne remarque pas la lettre manquante.
email@collegue.com : une autre adresse email, correspondant à l'adresse pro d'un collègue de mon ami.

Je ne suis pas un crack en protocoles d'envoi d'emails. Je constate qu'il y a des choses bizarres, mais je n'arrive pas à comprendre ce qui s'est passé.
Est-ce que vous arrivez à comprendre le sénario qui a pu mettre ces valeurs dans les différents champs ?

Merci d'avance

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
Delivered-To: mon@email.com
Received: by 10.64.18.109 with SMTP id v13csp236166ied;
        Tue, 2 Oct 2012 06:45:01 -0700 (PDT)
Received: by 10.50.197.163 with SMTP id iv3mr8727409igc.52.1349185500475;
        Tue, 02 Oct 2012 06:45:00 -0700 (PDT)
Return-Path: <email@demonami.com>
Received: from bay0-omc4-s2.bay0.hotmail.com (bay0-omc4-s2.bay0.hotmail.com. [65.54.190.204])
        by mx.google.com with ESMTP id pe8si2161433pbc.220.2012.10.02.06.44.58;
        Tue, 02 Oct 2012 06:45:00 -0700 (PDT)
Received-SPF: pass (google.com: domain of email@demonami.com designates 65.54.190.204 as permitted sender) client-ip=65.54.190.204;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of email@demonami.com designates 65.54.190.204 as permitted sender) smtp.mail=email@demonami.com
Received: from BAY162-W39 ([65.54.190.200]) by bay0-omc4-s2.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
	 Tue, 2 Oct 2012 06:44:50 -0700
Message-ID: <BAY162-W39C2037250E537EE91D7189A860@phx.gbl>
Return-Path: email@demonami.com
Content-Type: multipart/alternative;
	boundary="_dcf40eaa-a45c-43cc-aea0-2525f6509738_"
X-Originating-IP: [41.58.34.246]
Reply-To: <email@commeceluidemonami.com>
From: =?gb2312?B?1cW+p76n?= <email@demonami.com>
To: =?gb2312?B?1cW+p76n?= <email@demonami.com>
Subject: Asking for your help!
Date: Tue, 2 Oct 2012 21:44:49 +0800
Importance: Normal
In-Reply-To: <GPHTLLRLJEVZEADVDFKZJBIIETBB.email@collegue.com>
References: <GPHTLLRLJEVZEADVDFKZJBIIETBB.email@collegue.com>
MIME-Version: 1.0
X-OriginalArrivalTime: 02 Oct 2012 13:44:50.0459 (UTC) FILETIME=[18317EB0:01CDA0A4]

--_dcf40eaa-a45c-43cc-aea0-2525f6509738_
Content-Type: text/plain; charset="gb2312"
Content-Transfer-Encoding: 8bit

XxArchangexX · 03/10/2012, 10h17

Bonjour,

alors pour essayer de t'éclairer

Citation:

Reply-To: <email@commeceluidemonami.com>

Si tu ne peux pas recevoir le mail (boite pleine ou autre) un message d'alerte sera envoyé à cette adresse. Donc ce n'est pas ton ami qui recevra un mail en cas de problème.

Citation:

From: =?gb2312?B?1cW+p76n?= <email@demonami.com>

l'expediteur du mail: peut être configurable très facilement. C'est le premier jeu en école d'informatique en cours de réseau

.

Citation:

received

les chemins du mail, tu pars du bas vers le haut pour t'atteindre, donc le premier from bay0-omc4-s2.bay0.hotmail.com adresse ip 65.54.190.204

Pour finir l'adresse de l'expediteur : 65.54.190.204 est située en amérique donc tu as des chances d'être tombé sur un robot de spam. Les robots de spam utilisent un serveur centrale mais les spams se répandent à travers le monde par des machines corrompues.La machine de ton ami sert de point de transfert.

Surtout si ton ami est français un sujet comme Asking for your help! est un bon indice de spam ^_^°.

Edit : pour un peu de culture, il y a environ 250 millards de mails par jour et environ 180 sont des spams, pour te donner une idée de l'ampleur de la chose.

ViZiOnZ · 06/10/2012, 12h43

Ou alors c'est un arnaqueur qui cherche de façon froduleuse a avoir de l'argent par de simples emails comme ceux ci. Cela va des spam par des robots (appeler simplement "bot"), ou alors d'usurpation de votre banque. Grâce a l'ip tu remontera soit sur un serveur central soit sur un proxy, après libre a toi d'ignorer ce mail (j'en reçois deux par jours environ) ou de tanter de remonter jusqu'à sa source et de coincer cette personne aux intensions malveillantes.

06/10/2012, 12h43	#3
ViZiOnZ Quentin Forumeur. Inscription : octobre 2012 Messages : 15 Détails du profil Informations personnelles : Nom : Quentin Localisation : France Informations professionnelles : Activité : Forumeur. Secteur : Conseil Informations forums : Inscription : octobre 2012 Messages : 15 Points : -15 Points : -15	Ou alors c'est un arnaqueur qui cherche de façon froduleuse a avoir de l'argent par de simples emails comme ceux ci. Cela va des spam par des robots (appeler simplement "bot"), ou alors d'usurpation de votre banque. Grâce a l'ip tu remontera soit sur un serveur central soit sur un proxy, après libre a toi d'ignorer ce mail (j'en reçois deux par jours environ) ou de tanter de remonter jusqu'à sa source et de coincer cette personne aux intensions malveillantes.
	01

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email