SecFault.Org

Une nouvelle campagne de SPAM apparait de plus en plus dans les messageries à usage uniquement francophone (e.g. les universités). Elle apparait provenir de la direction generale des finances publiques avec l’adresse lettre-info-fiscale@dgfip.finances.gouv.fr. Cette email peut parait à première vu totalement légitime.Il est signé Phillippe BERGER (Consiliateur fiscal adjoint) qui bien qu’il n’existe pas à des homologues dans Google et les premiers rapports de ce SPAM ne sont pas dans les 10ers réponses de Google actuellement (bien que 01net ou Zataz en aient parlé).

De plus, pour pousser les lecteurs à cliquer sur un lien, les attaquants écrivent dans un bon français (pour une fois ce n’est pas une traduction automatique) que vous êtes adminissible pour recevoir un crédit d’impôts de 180€ environ (178.8€). Et il vous demande de remplir un formulaire pour avoir le droit à cette aide.

Bien entendu, le mail ne provient pas de la DGFIP mais est un SPAM. Le lient en lui même n’est pas forcément très malin car il méne vers un site finissant en .mx (mexique) ce qui n’est pas très crédible. L’utilisateur lambda sera surement induit en erreur car le header de la page est impots.gouv.fr et quand vous cliquez sur le lien, vous êtes rediriger vers une page dont l’URL contient http://www.impots.gouv.fr/portal/dgi/public/particuliers-Remboursement ce qui semble être une URL légitime.

Le premier site en .mx semble être un site légitime en espagnole. De plus, ils n’utilisent pas un top domaine tu type foobar.mx mais foobar.com.mx ce qui permet de ne pas avoir d’entrer DNS permettant de remonter à eux. Ce site est de toute façon utilisée comme passerelle car vous êtes tout de suite rediriger vers un second sans DNS mais via une addresse IP. Le premier site pourrait donc être juste un site légitime infecté par un malware. Ce site en .com.mx est hébergée sur un serveur dédié aux USA chez abac.net

Le faux site des impôts se trouve sur un second site avec une URL cachée du style http://xxx.xxx.xxx.xxx/.site/fr/?http://www.impots.gouv.fr/portal/dgi/public/particuliers-Remboursement. Cette addresse IP semble statique et est localisé à Rio de Janerio au Brésil dans une société qui fournit des ADSL et autres solutions Internet. On peut donc supposer que ce serveur est également un serveur compromis. En regardant de plus pres, on tombe sur un serveur qui semble légitime et dédié aux sites professionnelles. En cherchant un peu, cette plage d’addresse semble utiliser pour des sites pornographiques surement garni de malwares.

De plus, les liens sur la page contrefait ne marche pas ou sont redirigé vers le vrai site des impots ce qui augmente la confusion. En regardant le code HTML de la page, on se rend compte que les responsables de cette campagne de SPAM sont surement espagnole (ou de langue espagnole) ou tout du moins qu’ils ont utilisé un utilitaire créé par une personne de langue espagnole.

Ensuite une fois le formulaire remplit l’addresse change vers http://xxx.xxx.xxx.xxx/.site/fr/D.htm?http://www.impots.gouv.fr/portal/dgi/public/particuliers-Remboursement qui semble tjs légitime. Finalement, le site principal sur l’addresse IP semble être légitime en étant un vendeur de solutions informatique mais ne l’est surement pas.

Bref une campagne de SPAM plutôt bien monter et très bien cibler avec une localisation réflechie ce qui semble être une première en France mais surement pas la dernière.