Analyse d'un Smishing Chronopost (Smishing)

Analyse d'un Smishing Chronopost.

CHRONOPOST : Votre numéro de commande FR4923254Z est soumis à des frais de douane, veuillez vous rendre sur: Suivie-Chronopost.info pour reprendre la livraison.

SMS analysis :

NOTE : +33624210513
NOTE : Suivie-Chronopost.info
SCREENSHOT :

WHOIS DOMAIN :

a0.info.afilias-nst.info
a2.info.afilias-nst.info
b0.info.afilias-nst.org
b2.info.afilias-nst.org
c0.info.afilias-nst.info
d0.info.afilias-nst.org
ns11.cronustime.org
ns12.aphroditelove.eu
ns13.areswarrior.com
privacyguardian.org
icann.org
identity.digital
namesilo.com
ns11.cronustime.org
ns12.aphroditelove.eu
ns13.areswarrior.com
privacyguardian.org
suivie-chronopost.info
wdprs.internic.net
whois.namesilo.com
whois.nic.info
www.iana.org
www.icann.org
www.identity.digital
www.namesilo.com

WHOIS EMAIL :

pw-a20a93ae0fda530cace0b48b98cf7ca3@privacyguardian.org
tldadmin@identity.digital
tldtech@identity.digital

WHOIS PHONES :

+1.3478717726
+1.425.298.2200
+1.425.671.0020
+1.4805240066
+1.6024928198

WHOIS IP :

199.249.113.1
199.249.121.1
199.254.31.1
199.254.48.1
199.254.49.1
199.254.50.1

Rappel (Phishing Chronopost)

Cher(e) Client(e),

Je suis Vanessa Esseau responsable Livraison Chronopost, je vous informe que vous avez un colis au bureau de la poste. Vous disposez d'un délai de 48 heures pour récupérer votre colis, Sinon il sera retourné à l'expéditeur. Veuillez confirmer l'envoi du colis à votre domicile en suivant les étapes ci-dessous:

1- Appeler le numéro de notre service clients 3 fois ( 08 99 63 ** ** )

Cliquez-ici pour afficher le numéro

2- Recevoir le code de confirmation (8 chiffres) par téléphone.
3- Valider le code sur notre site pour suivez votre colis.

Veuillez lire attentivement les instructions suivants :

* Si vous ne pouvez pas recevoir le code veuillez essayer d'appeler jusqu'à 3 fois le numéro en rouge au-dessus.

* Après que vous passez la confirmation avec succès, un e-mail sera envoyé à votre adresse Mail avec tous les informations nécessaires à propos de votre colis (expéditeur, date, code, bureau de poste le plus proche..).

Cordialement.

---------- Original Message ----------From: "laposte.service vocale" < la.poste.service.vocale@hotmail.com >
Date: November 14, 2016 at 11:25 AM
De : Outlook < outlook@email2.office.com >
Envoyé : samedi 5 novembre 2016 21:01:57
À : la.poste.service.vocale@hotmail.com
Objet : Bienvenue dans Outlook.com—Simplifiez-vous la planification
De : Service B-Postale < mitznika@bell.net >
Envoyé : samedi 15 octobre 2016 16:58:36
À : service
Objet : jhh

Déclaration de confidentialité

Si vous pensez qu'il peut s'agir d'un email frauduleux, saisissez directement l'adresse www.westernunion.com dans la barre d'adresse de votre navigateur. En savoir plus sur la manière de vous protéger contre les fraudes.

Phishing analysis :

CLICK : Cliquez-ici pour afficher le numéro
OPEN : http://fitnesstorget.se/wp-content/theme/
SCREENSHOT :

NOTE : Phishing attempt.

Email analysis :

NOTE : outlook@email2.office.com
NOTE : mitznika@bell.net
NOTE : Return-Path : chronoplivraison@bell.net
NOTE : la.poste.service.vocale@hotmail.com
NOTE : Authentication-Results : spf=pass (sender IP is 184.150.200.79)

NOTE : from mtlgui03 ([10.90.35.142]) by mtlspm01.bell.net
NOTE : Cmm-Sending-Ip : 184.150.200.79
NOTE : Cmm-X-Sid-Pra : chronoplivraison@bell.net

Colis ref:U45254834 !!

Si le message ne s'affiche pas correctement, cliquez ici :Version en ligne .

Phishing analysis :

CLICK : Version en ligne .
OPEN : http://www.furuspesialisten.com/cls/index.html
REDIRECT : https://www.ecostore.co.il/contact/message.chronopost.livraison/
NOTE : The phishing was removed by ecostore

Email analysis :

NOTE : Votre.Colis@att.net
NOTE : Received : by trade.fibracom.fr (Postfix, from userid 33)
NOTE : Received : from trade.fibracom.fr ([93.95.59.201])
NOTE : www-data@trade.fibracom.fr
NOTE : X-Php-Originating-Script : 33:random.php
NOTE : X-Realfrom : tradecom