Attention ! Encore une tentative de phishing des clients de la Société Générale

Attention ! Encore une tentative de phishing des clients de la Société Générale

28 septembre 2020 | 0 commentaires

Vous êtes ici : Accueil » Règlement Général sur la Protection des Données (RGPD) » Attention ! Encore une tentative de phishing des clients de la Société Générale

Attention ! Encore une tentative de hameçonnage

Les tentatives d’escroquerie par email ne cessent de progresser. Ce matin, encore un bel exemple dans ma boîte mail.
C’est l’occasion, encore une fois, de montrer quelques règles simples pour éviter de vous faire piéger, et peut-être de faire prendre de gros risques à votre entourage.

Vous connaissez tous, déjà , le fameux « phishing » : tout est fait pour pousser l’utilisateur non averti à cliquer sur un lien pirate, qui vous demandera probablement de saisir un mot de passe de compte, ou un identifiant, ou peut-être encore de télécharger un utilitaire qui semblera anodin.

Voici l’exemple reçu ce lundi 28 septembre 2020 à 7 :45

L’heure du message

L’heure n’est pas choisie au hasard : à 7 :45, vous êtes peut-être dans les transports en commun, ou devant votre bol de café, et donc certainement sur votre portable.
De fortes chances par conséquent que vous ouvriez le mail pour comprendre son contenu : seules les premières lignes sont en général lisibles, selon vos paramètres.

Tentative de phishing des clients de la Société Générale : aperçu email smartphone

Voilà donc ce que vous allez trouver ici à droite.

Premières impression

Vous ne vous souvenez plus trop si vous avez un compte à la Société Générale, pas vrai ? un investissement que vous auriez fait il y a 10 ans ? un compte oublié que votre grand-mère vous avait ouvert ? Personnellement, je me souviens en effet que j’avais eu un compte, il y a fort fort longtemps, à la « Soc Gen ».

La tentation est donc grande d’aller vérifier.

Tentative de phishing des clients de la Société Générale : email smartphone complet

Premier réflexe

Premier réflexe, maintenant : l’adresse mail de l’émetteur !
En cliquant sur Service Client, je vais vérifier :

Tentative de phishing des clients de la Société Générale : l'émetteur

Problème : je crois me souvenir que la Société Générale avait des adresses en socgen.fr. Mais c’était il y a bien longtemps. Aurais-je oublié un compte bancaire au fond de mes tiroirs ? Ce serait trop bête de laisser dormir cet argent, pas vrai ?

Alerte Orange.

Tentative de phishing des clients de la Société Générale : adresse email émetteur

Investigations sur la Messagerie de bureau

Mais comme je suis prudent, j’attends d’être à mon bureau pour mieux vérifier. Pourquoi ? parce qu’avec ma boite mail de bureau, Outlook en l’occurrence, j’ai une bien meilleure visibilité, avec bien moins de risques, sur les éléments à surveiller.

Tentative de phishing des clients de la Société Générale : vue mesageire de bureau

La pièce jointe

Voilà donc mon email dans ma boîte aux lettres ce matin. Tiens donc, une pièce jointe. Je n’y avais pas fait attention.

Regardons de plus près : la pièce jointe affichée indique « code-promo.png ». Ce n’est pas en lien avec le sujet du mail, « Authentification renforcée ».

Alerte rouge

Tentative de phishing des clients de la Société Générale : aperçu dans le volet de lecture Outlook

L’émetteur du mail

L’émetteur de l’email est indiqué Service Client » : étonnant pour un problème de sécurité renforcée. Je vérifie donc, encore une fois, en cliquant sur l’émetteur, et mon logiciel de messagerie m’indique ceci :

@socgen.com, cela m’étonne, quand même. Il me semble que ce devrait être plutôt en « .fr », mais je ne suis pas certain.

Alerte Orange

En je ne vous dit pas ce que pourrait signifier « inass » vous n’avez pas besoin de moi.

Alerte Rouge

Tentative de phishing des clients de la Société Générale : identification de l'émetteur

Le corps de mail

Le texte semble clair, et pourtant, j’y découvre une faute étonnante :

La tournure semble erronée, et il manquerait un « s » à « activationS ».

Alerte rouge

 

Tentative de phishing des clients de la Société Générale : une faute étonnante

Les liens “Call-to-Action”

Voyons le boutons et le lien d’action. Sur un smartphone, vous ne pouvez pas facilement faire cette vérification, d’où l’intérêt d’être sur un ordinateur.

En passant la souris sur le lien, voilà ce que j’observe :

Ne cliquez surtout pas, l’alerte devrait être rouge écarlate.

Aucune mention à la Société Générale, l’heure du message dans le lien, double alerte. Rouge !

Tentative de phishing des clients de la Société Générale : survol des liens hypertextes

https://www.ilmareavela.com/7/07:45/

Vérification complémentaire

Par acquis de conscience, je vérifier que la Société Générale n’aurait pas déjà signalé cette tentative de phishing. Et je découvre très vite un premier article dans Ouest France qui relate que depuis le mois d’aout 2020, la Société Générale fait l’objet de tentatives d’hameçonnage par SMS. Banco !

Que faire maintenant  ? Supprimer le mail ?

Évidemment, mais avant :

Tentative de phishing des clients de la Société Générale : Signal Spam dans Outlook
Tentative de phishing des clients de la Société Générale : signalé à Signal Spam

  • Je le classe en indésirable

Un clic droit sur mon mail de phishing, « Courrier indésirable » / « Bloquer l’expéditeur »

Tentative de phishing des clients de la Société Générale : courrier indésirable

  • Et je le supprime enfin, pour de bon.

 

Et voilà, une tentative de phishing qui aurait pu me coûter cher, mais que nous avons écartée ensemble !

N’hésitez pas à nous transmettre vos captures d’écrans pour partager vos exploits.

Poster le commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

0 Partages
Partagez
Tweetez
Partagez