Hack boîte mail - reconnaître mail frauduleux

[lecameleon99]

Tout d'abord, boujour.
Je ne connaissais pas ce site, j'y suis tombé en faisant des recherches sur un cas arrivé à une connaissance qui m'intrigue fortement.
Ton blog est super sympa, et mon questionnement va venir sur ton post "Mail et Phishing : Pourquoi il faut se méfier de l’adresse de l’expéditeur"

J'explique le cas en anonimisant avec Mme Michu.

Mme Michu attend un mail du notaire, pour régler des frais sur un dossier en cours.
Ce mail arrive, avec des documents personnel, et le RIB pour procéder au virement.
Problème, le RIB est une pièce jointe qui a été remplacé.
En effet, on nous a renvoyé le mail, et noté que sur le 1er mail, l'heure d'envois diffère de 2h environ avec le mail reçu.


Du coup, on sait pas encore réellement d'où vient le problème (si c'est la boîte de Mme Michu ou le notaire).
Mais ce qui me chiffonne, c'est le Header que me sors la messagerie Orange. A part le champ received, ou on voit bien que c'est parti d'un serveur qui n'a rien à voir avec le notaire, tout le reste est OK. (X-Sender et return-path sont bien le mail du notaire).

Bref, je suis un peu confus, et je me dit que même moi je me serais fait avoir.

Pour info, sa boîte Orange était compromise, on a retrouvé un transfert de mail vers une boîte Gmail inconnu.
En général, ce genre de hack, c'est pour réinitialiser des mots de passe de site e-commerce et faire des achats, mais Mme Michu n'achète rien sur Internet.
Son mot de passe a été changé il y a quelques mois, donc, pas impossible que le transfert de mail date d'avant ce changement, mais pas impossible non plus que ce soit récent.
Le mot de passe n'était pas fort, et pas utilisé ailleurs (en tout cas, pas le dernier)

Je pense plus que le hack ait visé le notaire, que Mme Michu. Je vois pas qui attendrais un mail de ce type sur un compte mail peu actif, et super organisé comme ça...

Bref, je preneur d'idée pour comprendre d'où vient le Hack, afin de connaître les responsabilités.
Également preneur d'une visu/lecture sur le Header pour voir ce qui aurait dû attirer l'oeil (même si trop tard...), car quand je suis passé la 1ere fois chez Mme Michu après que son virement ait été détourné, je lui ai dit que le soucis venait forcément côté notaire, mais maintenant, avec la visu que le mail est parti d'un serveur/domaine qui n'a rien à voir avec le notaire, j'ai de gros doute.....

Merci

[lecameleon99]

Le Header ou j'ai juste remplacé les noms Michu et Mr.Notaire

Code : Tout sélectionner

Message-ID : <[email protected]>
Received : from opme11dod01aub.bagnolet.francetelecom.fr ([10.79.3.106]) by 
opme11dob36aub.bagnolet.francetelecom.fr with LMTP id APu7B5fjBmAlGQAAgjlzfQ ; Tue, 19 Jan 
2021 14:50:15 +0100,from opme11ppr07aub.bagnolet.francetelecom.fr ([10.79.3.106]) by 
opme11dod01aub.bagnolet.francetelecom.fr with LMTP id YBagB5fjBmDJYAAAIP79eg ; Tue, 19 Jan 
2021 14:50:15 +0100,from mwinf5c90 ([10.79.3.106]) by 
opme11ppr07aub.bagnolet.francetelecom.fr with LMTP id AD00B5fjBmCCNwAA1anjlw (envelope-
from <[email protected]>) for <[email protected]>; Tue, 19 Jan 2021 
14:50:15 +0100,from relay1-d.mail.gandi.net ([217.70.183.193]) by mwinf5c90 with ME id 
JdqD2400q4AmMeZ01dqD9C; Tue, 19 Jan 2021 14:50:15 +0100,from webmail.gandi.net 
(webmail14.sd4.0x35.net [10.200.201.14]) (Authenticated sender: [email protected]) by 
relay1-d.mail.gandi.net (Postfix) with ESMTPA id 4DBD824001A for <[email protected]>; Tue, 19 
Jan 2021 13:50:09 +0000 (UTC)
X-ME-Entity : ofr
X-me-spamlevel : not-spam
X-ME-bounce-domain : orange.fr
X-ME-engine : default
References : <[email protected]> 
<CAO43qx9TCWufyNfkNeU9abSqkuh_deiCF=6fa6AaW1_=-Wi1VA@mail.gmail.com>
X-bcc : [email protected]
X-Originating-IP : 10.200.201.14
X-ME-IP : 217.70.183.193
X-ME-Helo : relay1-d.mail.gandi.net
User-Agent : Roundcube Webmail/1.4.10
X-Sender : [email protected]
X-me-spamcause : 
(0)(0000)gggruggvucftvghtrhhoucdtuddrgeduledruddtgdehiecutefuodetggdotefrodftvfcurfhrohhfihhl
vgemucfogfdpggftiffpkfenuceurghilhhouhhtmecugedttdenucenucfjughrpeggfffhvffurhgjfhgfkfigtges
mhdtjhertderjeenucfhrhhomhepvehlohhthhhilhguvgcurfetjgettfffuceotghlohhthhhilhguvgdrphgrhigrr
hgurdejkedtudejsehprghrihhsrdhnohhtrghirhgvshdrfhhrqeenucggtffrrghtthgvrhhnpedvhffftdfgvedtke
fhffelvddvkeeuvdehtdeftdfffffgudeggeeuleelvdduvdenucffohhmrghinhepudelrghrqhhuvggsuhhsvgdq
nhhothgrihhrvghsrdhfrhenucfkphepvddujedrjedtrddukeefrdduleefpddutddrvddttddrvddtuddrudegne
cuvehluhhsthgvrhfuihiivgeptdenucfrrghrrghmpehhvghloheprhgvlhgrhiduqdgurdhmrghilhdrghgrnhgui
hdrnhgvthdpihhnvghtpedvudejrdejtddrudekfedrudelfedpmhgrihhlfhhrohhmpegtlhhothhhihhluggvrd
hprgihrghrugdrjeektddujeesphgrrhhishdrnhhothgrihhrvghsrdhfrhdprhgtphhtthhopehmjhdrnhhitghol
hesohhrrghnghgvrdhfrh
In-Reply-To : <CAO43qx9TCWufyNfkNeU9abSqkuh_deiCF=6fa6AaW1_=-Wi1VA@mail.gmail.com>
Reply-To : Mi[email protected]
Return-Path : <[email protected]>

[Malekal_morte]

Salut,

Ca donne pas beaucoup d'informations mais ça semble correct.
Maintenant, si tu as un doute sur la pièce jointe, pourquoi ne pas appeler par téléphone le notaire pour valider en direct ?

[lecameleon99]

Hello
Je n'ai pas un doute, madame Michu a déjà fait le virement, et on sait maintenant que le RIB est faux (ça pointe vers un compte NICKEL...) car le Notaire n'avait toujours pas vu le virement...

Je peux partager le Header d'un vrai mail reçu (renvoie du 1er mail pour comparer), ou on voit que ça part bien de leur presta de mail (vaderetro-service.net) et c'est grâce à ça qu'on a constaté la différence de date entre le mail envoyé et reçu (2h environ)


Mais du coup, tu es d'accord que de prime abord, le Header n'est pas parlant d'une quelconque arnaque, a part vraiment se focaliser sur les serveurs qui ont émis le mail.
Comme c'est hyper bien fait (faut l'avouer), et que la personne a pu mettre un faux RIB d'un compte NICKEL déjà ouvert (sûrement avec de faux papier), on est sur du Hack très bien préparé. Du coup, Mme Michu qui se serait fait hacker ou le Notaire? Pas facile à savoir...
J'espère que la police aura/saura remonter la piste pour savoir où est la responsabilité. Car c'est c'est le notaire, c'est de sa faute, et on peux se dire que c'est pour sa pomme. Si c'est madame Michu, la ce sera pour elle, et la somme n'est pas anodine pour un particulier...

[Malekal_morte]

Le header est dépend du serveur mail.
Par exemple Gmail et Gotmail masque l'IP du client.. donc tu ne sais pas d'où c'est envoyé.

Là ça part du Webmail de Gandi donc il semble que quelqu'un qui ait eu accès.
Après, si c'est le compte de Madame Michou, je crois pas que ce soit possible depuis le webmail de remplacer la pièce jointe.
Il faut renvoyer un nouveau mail ou un créer un mail il serait dans les brouillons.

Là c'est difficile d'être sûr à 100%.

[lecameleon99]

Au départ je me suis dit la même chose, c'est pas possible de modifier un mail reçu.
Par contre, avec le décalage de 2h, il est possible de récupérer le corps et pièce jointe, supprimer le mail original, et en renvoyer 1 frauduleux...
Ça me paraît malheureusement plus jouable que dévier ou remplacer le mail depuis la source... Surtout que le presta du Notaire pour ses mails se veut un expert du mail/spam...

[Malekal_morte]

oui mais faut avoir accès aux deux bals vu que le header semble correct.
Ca me paraît assez difficile à mettre en place.
Vous avez prévenu le notaire qu'ils préviennent ces clients ?