Analyse header mail phishing

Version imprimable

Bonjour

J'ai reçu aujourd'hui un email d'un ami me demandant de l'argent. Très suspect comme email, j'ai regardé les headers, et il y a des choses qui ont attiré mon attention

Dans ces header, on trouve 4 adresses mails différentes :

mon@email.com : mon email, destinataire du message
email@demonami.com : l'email de mon ami, enregistré dans men contacts
email@commeceluidemonami.com : un email presque identique à celui de mon ami. Une lettre a été supprimée pour avoir un truc qui ressemble et qu'on ne remarque pas la lettre manquante.
email@collegue.com : une autre adresse email, correspondant à l'adresse pro d'un collègue de mon ami.

Je ne suis pas un crack en protocoles d'envoi d'emails. Je constate qu'il y a des choses bizarres, mais je n'arrive pas à comprendre ce qui s'est passé.
Est-ce que vous arrivez à comprendre le sénario qui a pu mettre ces valeurs dans les différents champs ?

Merci d'avance
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 Delivered-To: mon@email.com Received: by 10.64.18.109 with SMTP id v13csp236166ied; Tue, 2 Oct 2012 06:45:01 -0700 (PDT) Received: by 10.50.197.163 with SMTP id iv3mr8727409igc.52.1349185500475; Tue, 02 Oct 2012 06:45:00 -0700 (PDT) Return-Path: <email@demonami.com> Received: from bay0-omc4-s2.bay0.hotmail.com (bay0-omc4-s2.bay0.hotmail.com. [65.54.190.204]) by mx.google.com with ESMTP id pe8si2161433pbc.220.2012.10.02.06.44.58; Tue, 02 Oct 2012 06:45:00 -0700 (PDT) Received-SPF: pass (google.com: domain of email@demonami.com designates 65.54.190.204 as permitted sender) client-ip=65.54.190.204; Authentication-Results: mx.google.com; spf=pass (google.com: domain of email@demonami.com designates 65.54.190.204 as permitted sender) smtp.mail=email@demonami.com Received: from BAY162-W39 ([65.54.190.200]) by bay0-omc4-s2.bay0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675); Tue, 2 Oct 2012 06:44:50 -0700 Message-ID: <BAY162-W39C2037250E537EE91D7189A860@phx.gbl> Return-Path: email@demonami.com Content-Type: multipart/alternative; boundary="_dcf40eaa-a45c-43cc-aea0-2525f6509738_" X-Originating-IP: [41.58.34.246] Reply-To: <email@commeceluidemonami.com> From: =?gb2312?B?1cW+p76n?= <email@demonami.com> To: =?gb2312?B?1cW+p76n?= <email@demonami.com> Subject: Asking for your help! Date: Tue, 2 Oct 2012 21:44:49 +0800 Importance: Normal In-Reply-To: <GPHTLLRLJEVZEADVDFKZJBIIETBB.email@collegue.com> References: <GPHTLLRLJEVZEADVDFKZJBIIETBB.email@collegue.com> MIME-Version: 1.0 X-OriginalArrivalTime: 02 Oct 2012 13:44:50.0459 (UTC) FILETIME=[18317EB0:01CDA0A4] --_dcf40eaa-a45c-43cc-aea0-2525f6509738_ Content-Type: text/plain; charset="gb2312" Content-Transfer-Encoding: 8bit

03/10/2012, 10h17
XxArchangexX

Bonjour,

alors pour essayer de t'éclairer

Citation:

Reply-To: <email@commeceluidemonami.com>

Si tu ne peux pas recevoir le mail (boite pleine ou autre) un message d'alerte sera envoyé à cette adresse. Donc ce n'est pas ton ami qui recevra un mail en cas de problème.

Citation:

From: =?gb2312?B?1cW+p76n?= <email@demonami.com>

l'expediteur du mail: peut être configurable très facilement. C'est le premier jeu en école d'informatique en cours de réseau :D.

Citation:

received

les chemins du mail, tu pars du bas vers le haut pour t'atteindre, donc le premier from bay0-omc4-s2.bay0.hotmail.com adresse ip 65.54.190.204

Pour finir l'adresse de l'expediteur : 65.54.190.204 est située en amérique donc tu as des chances d'être tombé sur un robot de spam. Les robots de spam utilisent un serveur centrale mais les spams se répandent à travers le monde par des machines corrompues.La machine de ton ami sert de point de transfert.

Surtout si ton ami est français un sujet comme Asking for your help! est un bon indice de spam ^_^°.

Edit : pour un peu de culture, il y a environ 250 millards de mails par jour et environ 180 sont des spams, pour te donner une idée de l'ampleur de la chose.
06/10/2012, 12h43
ViZiOnZ

Ou alors c'est un arnaqueur qui cherche de façon froduleuse a avoir de l'argent par de simples emails comme ceux ci. Cela va des spam par des robots (appeler simplement "bot"), ou alors d'usurpation de votre banque. Grâce a l'ip tu remontera soit sur un serveur central soit sur un proxy, après libre a toi d'ignorer ce mail (j'en reçois deux par jours environ) ou de tanter de remonter jusqu'à sa source et de coincer cette personne aux intensions malveillantes.