Après Attijariwafa Bank et Société Générale, c’est le site de Maroc Telecommerce qui a été imité pour tromper les utilisateurs et collecter leurs données personnelles. Objectif du pirate : récupérer des numéros de carte bancaire pour les revendre au marché noir ou faire des achats sur internet. Aussi, Médias 24 vous propose de déceler le phishing en 5 étapes :

1-      Le nom du client doit figurer sur le mail. Or dans ce cas, le client n’est pas sollicité.

2-      Il y a de nombreuses fautes d’orthographe, ce qui ne peut être l’action d’une société sérieuse (Fraude sans e).

3-      Il faut bien regarder le lien vers lequel le mail est censé atterrir. C’est là que c’est intéressant. Dans le cas du phishing de Maroc Telecommerce, si l’on regarde l’adresse de plus près, on se rend compte que le protocole utilisé est http et non https, qui aurait signifié effectivement que l’échange d’informations entre le client et le serveur est sécurisé. C’est le pirate qui a ajouté le https qui se trouve après le http :// pour obtenir http://https.csp-front...

4-      Alors que le nom de domaine est agroatencion.com.ar, le pirate a inscrit comme sous-domaine tout ce qui se trouve entre http:// et agroatencion.com.ar.

http://https.csp-front.maroccommerce.com-tms-ts-bin-smart-receipt.cgi.hd8e037c6dae8f459bcf9894d1d9d1d68.key-store-seqid.400426.buyer.w.view.customer.order-id.84a1d3.agroatencion.com.ar/index.htm

Et c’est pour mieux tromper l’utilisateur que le pirate a créé une adresse très longue. Ainsi, l’internaute ne peut en lire que le début dans la barre des titres de son navigateur, sans voir le vrai nom de domaine qui est donc agroatencion.com.ar et non maroctelecommerce.

Si l’utilisateur non averti ne peut voir tous ces signes et clique sur le lien de la page, il est alors orienté vers une page portant le logo de Maroc Telecommerce et imitant un formulaire de l’opérateur. Or cette fois encore, les fautes sont multiples, preuve de l’amateurisme de ce pirate en herbe. D’ailleurs, même si tous les champs obligatoires ne sont pas remplis, il est possible de cliquer sur le bouton « CONFIRMER » sans aucun risque tant qu’aucun champ n’est rempli. A ce moment là, l’internaute est redirigé par un simple script vers la vraie page de Maroc Telecommerce. Cela sert à ôter tout soupçon de l’utilisateur qui aurait rempli effectivement le formulaire, en communiquant ses coordonnées bancaires.

5-      Les deux domaines principaux qui hébergent cette page sont espagnols, le mailing ne peut donc être l’œuvre d’une société marocaine.

Pour les plus avertis, Médias 24 propose d’aller encore plus loin, grâce à des petites astuces, pour tenter de retrouver le pirate.

6          Une fois sur la page du formulaire, en appuyant sur les touches Ctrl+U, il est possible de voir le code source de la page. Il apparaît alors que le pirate a fait un Ctrl+S d’une page existante sur Maroc Telecommerce qu’il a enregistrée sur html. Mais il n’a même pas pris la peine d’effacer sa trace en supprimant le « saved from url », c'est-à-dire le « sauvegardé depuis l’url ».

7          Toujours sur la page du formulaire, en cherchant (Ctrl+F) le terme « action », ont trouve <form action="drspam.php" method="POST">. Ce qui signifie qu’une fois l’information remplie sur le formulaire, lorsque l’internaute clique sur « CONFIRMER », son nom, prénom et ses coordonnées… saisis vont être traités par la page « drspam.php » et cette même page va ensuite le rediriger vers le véritable site de Maroc Telecommerce.

Là encore, il semble évident que l’auteur de l’attaque d’hameçonnage est un jeune débutant car il tient à son pseudo, qui est surement DR Spam. Il aurait pu nommer la page autrement que « drspam.php » mais a tenu à la signer. Un besoin de reconnaissance, et un signe évident d’amateurisme.

8          Enfin, il est également possible de retrouver la facture d’origine du pirate en remontant sa piste par sa commande. Mais là, c’est bien plus complexe alors nous avons récupéré le post facebook d’un spécialiste qui a préféré garder l’anonymat :

Comment traquer le fameux "phisher" de MarocTelecommerce ...
1/ Voir le code source de la page.
2/ en haut, y a ça >> http://d.pr/i/BtY9: reçu de facture MT depuis lequel il a copié la template de la page ...
3/ key_store_seqid=400188 :>> il a acheté sur SUPERDEAL.ma ! (il a retracé le certificat)

4/ order_id=06a800faa36a11e29c77659bbca27d3b :>> Oulalaaaa ... la facture est toujours sur les serveurs de MT :))

La faute incombe-t-elle à une faille de sécurité de Maroc telecommerce ?

Que nenni ! Alors même que les banques, les opérateurs télécom et tout autre opérateur proposant un paiement en ligne passe aujourd’hui par Maroc Telecommerce, il faut savoir que ce dernier n’est absolument pas responsable des attaques de phishing dont il fait l’objet. En effet, il n’a aucun moyen de les contrôler car c’est le service de messagerie qu’utilise l’internaute qui peut filtrer le courrier indésirable et le répertorier en spam. Gmail, Outlook, Yahoo ont ainsi des outils qui élaborent des filtres antispam et anti-phishing qui scannent les mails. Mais leurs filtres dépendent de la réputation du serveur duquel a été envoyé le mail et pas forcément du contenu. De plus Maroc Telecommerce, contrairement à Paypal, n’est pas très connu et donc les services de messagerie n’ont pas créé autant d’alertes pour scanner les mails lorsque le terme Maroc Telecommerce y figure.

Que peut faire l’opérateur usurpé ?

Tout ce que peut faire l’opérateur à son niveau, c’est avertir ses clients et faire une campagne de sensibilisation. D’ailleurs, le jour même de l’attaque, un courrier a été envoyé aux clients de Maroc Telecommerce pour les avertir de la tentative de fraude. Cette fois-ci, bien que la règle numéro 1 n’ait pas été respectée, c'est-à-dire que les courriers n’ont pas été personnalisés avec les noms et prénoms des destinataires, le mail comportait bien des coordonnées et des numéros de téléphones.

La meilleure protection d’un internaute, c’est lui-même !

De multiples fautes, l’utilisation de l’anglais et du français dans le formulaire, l’oubli volontaire d’effacer sa trace et sa signature… Après analyse du phishing de Maroc Telecommerce, il apparaît que le pirate est un simple amateur.

C’est surement un jeune homme qui compte revendre les coordonnées bancaires au marché noir. Une carte bancaire française pourra être vendue 50 à 100 DH, les cartes marocaines ne valent pas grand-chose, mais si beaucoup de Marocains mordent à l’hameçon, il pourra s’acheter des noms de domaine et de beaux cadeaux sur les sites d’E-commerce.

Qu’en sera-t-il lorsque le marché du E-commerce marocain, qui a de plus en plus d’adeptes et qui devient très juteux, intéressera les pirates chevronnés alors même que les Marocains sont livrés à eux-mêmes ? En l’absence de campagnes anti-phishing, beaucoup d’internautes risquent d’en être victimes. Reste à noter que ce type de fraude n’incrimine en rien le E-commerce marocain et sa sécurité. Le phishing est un phénomène nouveau au Maroc, mais qui est très répandu aux Etats-Unis et en Europe.