Examen d'un spam #3

[11/11/2020] - ~8mins - #spam #mail

En ce 11 novembre je reçois un ptit mail de la part d'Online comme quoi au moins un de mes domaines arrive à expiration et qu'il me faut passer à la caisse pour prolonger l'aventure.

Le mail me semble vite fait clean, je clique sur le lien donné pour effectivement renouveler.

Je tombe sur une page 404 de chez Online.

Donc à priori c'est étrange mais sans conséquence.

Ni une ni deux, mon premier réflexe est de signaler ça sur le salon IRC.

Et là, tintin tin je me demande si ce serait pas un peu plus louche en vrai.

Je regarde les headers et là ça devient super louche.

Du coup, je regarde le mail au format HTML et là ça se confirme c'est bien un spam de phishing.

• Le contenu du mail texte était identique au texte du mail HTML mais un des liens (celui poussant à agir) est différent.*

En fait par chance mon client mail (neomutt) m'affiche le mail au format texte ce qui m'a protégé pour le coup.

Par contre le from que neomutt m'affiche est forgé.

• Rspamd* l'a noté à 6.01/10 ce qui est déjà pas mal.

Bon je vous le montre en entier avec notamment les headers de rspamd qui montrent qu'il avait bien capté la supercherie.

Return-Path: 
X-Original-To: lord-blog@lord.re
Delivered-To: lord-blog@lord.re
Received: from mta3.canopegabon.com (mta3.canopegabon.com [85.214.29.22])
	(using TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits))
	(No client certificate requested)
	by kif.lord.re (Postfix) with ESMTPS id D695A807F6
	for ; Wed, 11 Nov 2020 13:43:18 +0100 (CET)
Date: Wed, 11 Nov 2020 13:21:05 +0100
To: lord-blog@lord.re
From: "online.net" 
Reply-To: info@eu10.internet-es.com
Subject: [Online] Renouvellement de vos noms de domaine.
Message-ID: 
List-Unsubscribe: mailto:bounce180-kItnMezg254CXnq@online.net?subject=list-unsubscribe
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="1f17fd24f871cbcb69725d0a4fc959b29"
Content-Transfer-Encoding: 8bit
X-Rspamd-Queue-Id: D695A807F6
X-Spamd-Result: default: False [6.01 / 10.00];
	 HAS_REPLYTO(0.00)[info@eu10.internet-es.com];
	 R_SPF_FAIL(1.00)[-all];
	 DMARC_POLICY_SOFTFAIL(0.10)[online.net : No valid SPF, No valid DKIM,none];
	 ARC_NA(0.00)[];
	 FROM_HAS_DN(0.00)[];
	 TO_MATCH_ENVRCPT_ALL(0.00)[];
	 MIME_GOOD(-0.10)[multipart/alternative,text/plain];
	 REPLYTO_DOM_NEQ_FROM_DOM(0.00)[];
	 TO_DN_NONE(0.00)[];
	 HAS_LIST_UNSUB(-0.01)[];
	 RCPT_COUNT_ONE(0.00)[1];
	 VIOLATED_DIRECT_SPF(3.50)[];
	 RCVD_COUNT_ZERO(0.00)[0];
	 FROM_EQ_ENVFROM(0.00)[];
	 R_DKIM_NA(0.00)[];
	 MIME_TRACE(0.00)[0:+,1:+,2:~];
	 ASN(0.00)[asn:6724, ipnet:85.214.0.0/15, country:DE];
	 MID_RHS_MATCH_FROM(0.00)[];
	 GREYLIST(0.00)[pass,body];
	 PHISHING(1.52)[online.net->aksomev.de]
X-Rspamd-Server: kif
X-Spam: Yes

This is a multi-part message in MIME format.

--1f17fd24f871cbcb69725d0a4fc959b29
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit


ONLINE SASAssistance techniqueBP 438 - 75366 Paris CEDEX 08France
Tél : 01 84 13 00 00
Objet : Renouvellement de vos noms de domaine.
Madame, Monsieur,
Un ou plusieurs de vos domaines ou de vos hébergements arrivent bientot à expiration,
Pour proceder au renouvellement rendez-vous sur la page suivante:
https://console.online.net/commande/renouvellement/
En cas de non règlеmеnt sous 2 jours. votre compte sera définitivement fermé.
A trés bientot,
Si vous êtes perdus, nous avons de nombreux outils à votredisposition :
* Nos documentations sont disponibles en ligne à l'adressehttp://documentation.online.net- Si malgre les outils à disposition, vous n'avez pas trouvéréponse à votre question, notre assistance technique est a votredisposition depuis la rubrique "assistance" de votre consolede gestion Online.net (apres authentification)
Nouveau :Des partenaires d'infogérance sont à votre disposition pourvous fournir un service technique clef en main.Pour plus d'information, contactez nos partenaires :http://documentation.online.net/commercial/infogerance
--L'assistance Online.net


--1f17fd24f871cbcb69725d0a4fc959b29
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable


ONLINE SAS
Assistance technique
BP 438 - 75366 Paris CED=
EX 08=
France

=
https://console.online.net/commande/renouvellement/

disposition :

http://documentation.online.net
- Si malgre les outils =C3=A0 disposition, vous n'a=
vez pas trouv=C3=A9
r=C3=A9ponse =C3=A0 votre question, notre assistance techniqu=
e est a votre
disposition depuis la rubrique "assistance" de votre console
de gestion O=
nline.net (apres authentification)

Des partenaires d'infog=C3=A9rance sont =C3=
=A0 votre disposition pour
vous fournir un service technique clef en main.
Pour plus d'=
information, contactez nos partenaires :
http://documentation.online.net/commercial/infogerance<=
/A>
L'assistance Online.net



--1f17fd24f871cbcb69725d0a4fc959b29--

Bref, je remercie mon client mail de privilégier les mails au format texte.

Le phishing marche principalement par les mails html, donc c'est un argument de plus pour ne pas utiliser ce format.

• Il y a donc des tentatives de phishing à l'encontre des clients Online actuellement.*

Liens