Clients de chez free.fr, attention! Une campagne de spam est actuellement en cours promouvant une page de phishing.
Le message donne ceci :
Chers client (e) Free,
Par mesures de sécurité et Grâce à notre expérience, Nous contrôlons tous les charge inhabituelles liée a votre compte.
Nous avons déterminé que quelqu'un a peut-être tenté d'accéder à votre compte Free sans votre autorisation.
Pour votre protection, nous avons restreint l'accès à votre compte.
Numéro de Référence : YS88K77
Nous avons temporairement restreint l'accès à votre compte. Nous réétudierons cette restriction lorsque vous
aurez fourni les informations demandées.
Pour lever cette restriction, vous devez suivre les étapes suivantes :
- Cliquez sur le lien suivant : http://imp.free.fr/horde/compte=YS88K77?39485773999
- Connectez-vous
- Mise à jour vos informations personnelles
- Reconnectez-vous
-------------------------------------
Webmail Free.fr Copyright © 2010 ! Tous droits réservés Email Free n° PP4988
imp.free.fr est réellement un sous-domaine de free (le webmail). Mais dans l'URL présentée ci dessus, le nom de domaine est http://www.id-orange-securite.com, le /imp.free.fr/* n'étant qu'un dossier de l'arborescence du site.
Le site est déjà signalé comme contrefait, et certains navigateurs affiche un bandeau d'avertissement :
Si le graphisme n'est pas des plus réussi, en revanche le phisher a eu l'astuce de mettre des liens vers de vraies pages free.fr (accueil, souscription nouveau client,...).
Le nom de domaine pourrait laisser à penser que ce site devait à la base servir de base de phishing Orange. Le listage des dossiers étant interdit, cela reste laborieux à vérifier. En revanche un whois donne des informations très détaillées sur le nom de domaine (adresse postale et mail valides, registar suisse net4all.ch) ce qui n'est normalement pas le cas des domaines phishing qui optent généralement au moins pour un whois privée sur un registar offshore. Il s'agit donc, peut-être, d'un site légitime qui a été compromis.