Salut,
je viens juste vous mettre en garde contre un nouveau faux email Paypal qui tente de récolter vos données personnels (nom, adresse, n° de sécu, de CB,...)
cet email utilise la dernière faille d'IE, le spoofing d'url, en fait vous croyez être sur paypal.com mais il n'en est rien, une analyse du code source du message le confirme:

Code:

<a href="http://www.paypal.com%01[...]%01@surprise.youlikeshe.com ">click here</a>

donc en cliquant sur ce lien vous n'irez pas sur paypal mais sur "surprise.youlikeshe.com" qui redirige vers l'url:

Code:

http://www.paypal.com
@pagart.pl/paypal/verify.htm

(url affichée avec MyIE2 qui n'est qu'une surcouche de IE )

donc vous serez sur le domaine pagart.pl (un domaine polonais!) et non paypal.com

si vous ne comprenez rien au code source, vous pouvez aussi noter l'absence du petit cadenas en bas de la fenêtre de votre navigateur, indiquant que le site n'est pas sécurisé

je sais qu'une grande partie d'entre vous ne se laissent pas piéger par ce genre de message mais je tenais à avertir car malheureusement tout le monde n'est pas aussi circonspect face à de tels messages.

J'ai voulu envoyer un email pour prévenir l'hébergeur de cette fraude mais la recherche Whois sur RIPE (Réseaux IP Européens) ne me donne que ceci:

Quote:

% This is the RIPE Whois server.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-serv...copyright.html

% The object shown below is NOT in the RIPE database.
% It has been obtained by querying a remote server:
% (whois.dns.pl) at port 43.
% To see the object stored in the RIPE database
% use the -R flag in your query
%
%REFERRAL START
% This is the NASK WHOIS Server.
% This server provides information only for PL domains.
% For more info please see http://www.dns.pl/english/whois.html

Domain object:
domain: pagart.pl
type: CORPORATE
registrant's handle: nsk63412
nservers: ns1.expro.pl.[81.210.76.2]
ns2.expro.pl.[81.210.76.3]
created: 2003.07.15
last modified: 2003.11.25
registrar: nask

Holder's Contact object:
company: PAGART TOUR SP. Z O.O.
street: UL. PILSUDSKIEGO 46
city: 50-033 WROCLAW
location: PL
handle: nsk63412
last modified: 2003.03.29
registrar: nask

aucun email abuse@pagart.pl ou autre contact n'est mentionné, quelqu'un a-t-il une solution?
j'ai aussi tenté de prévenir le service de redirection de l'url "surprise.youlikeshe.com" sans aucun succès, en tapant le domaine "youlikeshe.com" on tombe sur un site porno sur le domaine "www.terra.es" qui ne donne rien non plus en faisant un whois
Donc impossible, du moins pour moi, d'envoyer une plainte afin de cloturer ce site frauduleux, je pense que le mieux est de faire suivre à Paypal qui est peut-être plus armé pour lutter contre celà
Ben voilà, c'est fait, j'ai transféré l'email à spoof@paypal.com comem indiqué sur cette page (Contact Us - Report Fraud/Spam - Fake Site)

Pour ceux que ça intéresse, je joins le code source du message.

[Cougar]

Et plus généralement, Mefiez vous !

[Benjy]

Très important aussi : quand PayPal (le vrai) envoie un mail, toutes les adresses contenues dans la correspondance sont en https.

[Matt]

Quote:

Originally Posted by shp13

cet email utilise la dernière faille d'IE

>> C'est pas vraiment une faille d'IE ... Le système http://qqch@domaine.ext, c'est un standard du protocol HTTP, qui permet de définir des informations d'authentification HTTP lors de l'accès à un site. Par exemple, en tapant http://loginassword@xsetup.net, je peux aller sur mon site en m'identifiant directement comme administrateur ...
La seule "astuce" des auteurs de ce mail consiste à avoir mis une adresse de site comme info d'authentification, mais c'est vraiment pas une innovation : aux environs du 1er avril, on trouve plein d'adresses en http://www.cnn.com@autrechose.com pour essayer de rendre les poissons plus crédibles

[LeMoi]

surtout paypal envoie les mails au format html, je crois (du moins chez moi, à moins que ce ne soit une option), et surtout aussi ils rappellent le vrai nom, et pas le pseudo, donc si u reçois un message Dear shp13, ben c pas eux ^^

Quote:

Originally Posted by Matt

>> C'est pas vraiment une faille d'IE ... Le système http://qqch@domaine.ext, c'est un standard du protocol HTTP, qui permet de définir des informations d'authentification HTTP lors de l'accès à un site. Par exemple, en tapant http://loginassword@xsetup.net, je peux aller sur mon site en m'identifiant directement comme administrateur ...
La seule "astuce" des auteurs de ce mail consiste à avoir mis une adresse de site comme info d'authentification, mais c'est vraiment pas une innovation : aux environs du 1er avril, on trouve plein d'adresses en http://www.cnn.com@autrechose.com pour essayer de rendre les poissons plus crédibles

je connais ce standard avec le @ mais en mettant %01 devant ça permet le spoofing d'url, parce que lorsque tu vas dessus avec IE tu ne vois pas http://www.paypal.com
@pagart.pl/paypal/verify.htm mais uniquement http://www.paypal.com

de toutes façons le site a été supprimé maintenant

[Matt]

Quote:

Originally Posted by shp13

je connais ce standard avec le @ mais en mettant %01 devant ça permet le spoofing d'url, parce que lorsque tu vas dessus avec IE tu ne vois pas http://www.paypal.com
@pagart.pl/paypal/verify.htm mais uniquement http://www.paypal.com

de toutes façons le site a été supprimé maintenant

Au temps pour moi. Je n'avais pas remarqué le %o1 :confused: désolé