S'agit-il de phishing par e-mail Amazon Business?
Aujourd'hui, j'ai reçu un message qui prétend provenir d'Amazon. 
Normalement, je peux repérer un e-mail de phishing à distance. (Je travaille dans le département Abus & NOC d'un FAI.) Mais celui-ci semble juste légèrement décalé. S'il s'agit de phishing, c'est effrayant.
La seule indication que j'ai que ce n'est pas réel est qu'il a été envoyé à une adresse de {the A dans Q&A}@eoni.com, qui n'a pas de Kenneth (c'est une adresse de support technique pour notre FAI qui fait aussi l'hébergement de domaine ). Le fait qu'ils utilisent cette adresse me fait penser que l'adresse aurait pu être collectée automatiquement (whois probablement). Il est tout à fait possible que l'un des domaines que nous hébergeons soit pour un client nommé Kenneth, et que ce domaine ait notre adresse de contact sur l'enregistrement whois quelque part. Nous avons suffisamment de domaines hébergés que juste un prénom ne suffira pas pour trouver ledit nom de domaine et regarder l'enregistrement whois.
Étant dans le service d'abus, je voulais savoir si cela est réel ou non (donc je peux le signaler sinon/éventuellement l'empêcher de travailler sur notre réseau s'il s'agit d'un hameçonnage).
Voici les en-têtes:
Return-Path: <01010157e278aa63-283a615a-b603-4300-8c6f-8426b3978f81-000000@us-west-2.amazonses.com>
Delivered-To: {a in Q&A}@eoni.com
Received: (qmail 8542 invoked from network); 20 Oct 2016 14:22:22 -0000
Received: from a27-163.smtp-out.us-west-2.amazonses.com (HELO a27-163.smtp-out.us-west-2.amazonses.com) (54.240.27.163)
by adam6.eoni.com with (AES128-SHA encrypted) SMTP
(9d6af486-96d0-11e6-bacc-001e67492cec); Thu, 20 Oct 2016 07:22:22 -0700
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple;
s=iapqtturmhylirl6i5t3a2ps2ewsadsl; d=business.Amazon.com;
t=1476973341;
h=Message-ID:Date:Subject:From:To:MIME-Version:Content-Type:List-Unsubscribe;
bh=CqDwwona4ZmOCsT+zgi3DKmE5lkxklMdpT65fdXrB1c=;
b=UAkSuvsci14jfOFm+fW8S5l3ntdIbESTZB8eHvo6+itz4xiYy9sxXQ1RoXIJIGq9
3ny5HJIKyI6wkjKRWnX6TQ3EHhDqDFlkB75Z1NzHNlp/5NUA8cEa6ua+wq1sWdyG33o
k5gn5Kkz3v72uQMAhT6Dqq/3DSW9ipDMzrHF12Fs=
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/simple;
s=gdwg2y3kokkkj5a55z2ilkup5wp5hhxx; d=amazonses.com; t=1476973341;
h=Message-ID:Date:Subject:From:To:MIME-Version:Content-Type:List-Unsubscribe:Feedback-ID;
bh=CqDwwona4ZmOCsT+zgi3DKmE5lkxklMdpT65fdXrB1c=;
b=BdhqUbp6t3dhXe83M3isFcjV2hXaT6rAhCxPN/WXWepJngjhi1EO3Sgd5SbkaEjj
6dzzlfljD+nKTJH2r9Kd1COeXqc5tgSeMEmVYV1TpmIRhc1fU9RUULRKG4ojxs0msSb
RDRzSCa83Se484s7KDNwb5LWixFn7jo3oL7DFKx0=
Message-ID: <01010157e278aa63-283a615a-b603-4300-8c6f-8426b3978f81-000000@us-west-2.amazonses.com>
Date: Thu, 20 Oct 2016 14:22:21 +0000
Subject: Free Upgrade to Amazon Business Account
From: Amazon <[email protected]>
To: {A in Q&A}@eoni.com
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="_=_Swift_v4_1476973341_6e5cebc34b840a2a68132f6e212fdc76_=_"
X-Pardot-Route: 113:54552:359489270
List-Unsubscribe: <http://www.amazonbusiness.com/unsubscribe/u/54552/6674f6c0dd8377b4a26688a664718cffd707396fd788791d186acab4a81bd210/359489270>
X-Report-Abuse-To: [email protected]
X-SES-Outgoing: 2016.10.20-54.240.27.163
Feedback-ID: 1.us-west-2.DslCQSzKRwSQ0bYxCfi+GcY39H31l7QrR+kFUIOTrc4=:AmazonSES
X-MagicMail-OS: Inactive
X-MagicMail-UUID: 9d6af486-96d0-11e6-bacc-001e67492cec
X-MagicMail-SourceIP: 54.240.27.163
X-MagicMail-RegexMatch: 0
X-MagicMail-EnvelopeFrom: <01010157e278aa63-283a615a-b603-4300-8c6f-8426b3978f81-000000@us-west-2.amazonses.com>
X-MagicMail-Original-Destination: {A in Q&A}@eoni.com
X-MagicMail-Quarantine: Yes
En regardant les en-têtes, je vois que c'est de ce que je pense être un service de messagerie AWS. (N'importe qui peut l'acheter et envoyer un e-mail). Donc ça ne me convainc pas que c'est Amazon. Je vois des informations sur Pardot, un système d'automatisation du marketing B2B Salesforce. Cela semble étrange que ce ne soit pas chez Amazon, mais ils pourraient utiliser un système comme celui-ci. Je ne sais donc pas quoi penser à ce sujet.
S'il s'agit d'une attaque, elle doit fonctionner d'une manière ou d'une autre. Où vont les liens?
Créer mon compte: http: /www.amazonbusiness.com/e/54552/gistration-start-ref-b2b-e459b/jt2hvr/359489270
Se désinscrire: http: /www.amazonbusiness.com/preferences/? Ehash = 6674f6c0dd8377b4a26688a664718cffd707396fd788791d186acab4a81bd210 & email_id = 359489270
Mettre à jour les préférences de messagerie: http: /www.amazonbusiness.com/preferences/? Ehash = 6674f6c0dd8377b4a26688a664718cffd707396fd788791d186acab4a81bd210 & email_id = 359489270
Aucun d'entre eux n'a SSL, mais celui de Créer mon compte redirige vers:
https: /www.Amazon.com/ap/signin? openid.return_to = https% 3A% 2F% 2Fwww.Amazon.com% 2Fbb% 2Fregistration% 2Fconfirmation% 2Fref% 3Db2b_reg_st_rd & openid.identity = http% 3A% 2F% 2Fspecs. .net% 2Fauth% 2F2.0% 2Fidentifier_select & openid.assoc_handle = usflex & openid.mode = checkid_setup & marketPlaceId = ATVPDKIKX0DER & openid.claimed_id = http% 3A% 2F% 2Fspecs.openid.net% 2Fauth% 2F2_b_f % 2F% 2Fspecs.openid.net% 2Fauth% 2F2.0 & openid.pape.max_auth_age = 0 & siteState = pageFlowType% 3DLOGIN% 2CclientContext% 3D168-4326428-9305323% 2CsourceUrl% 3Dhttps% 253A% 252F2 25A2F2 % 252Fconfirmation% 252Fref% 253Db2b_reg_st_rd% 2Csignature% 3DLXjj2FO0jmvxdiEVn0vZfa3j2BZbIE4j3D & ref_ = null
Ok, où est hébergé ce domaine amazonbusiness.com? À qui appartient le nom? Certes, Amazon hébergerait tous ses sites sur AWS, non?
Dig a www.amazonbusiness.com
; <<>> Dig 9.10.3-P4-Ubuntu <<>> a www.amazonbusiness.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 58074
;; flags: qr rd ra; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;www.amazonbusiness.com. IN A
;; ANSWER SECTION:
www.amazonbusiness.com. 820 IN CNAME go.pardot.com.
go.pardot.com. 7199 IN CNAME pi.pardot.com.
pi.pardot.com. 29 IN CNAME pi-dfw.pardot.com.
pi-dfw.pardot.com. 29 IN CNAME pi-dfw-lb1.pardot.com.
pi-dfw-lb1.pardot.com. 899 IN A 136.147.104.32
;; Query time: 57 msec
;; SERVER: 192.168.88.1#53(192.168.88.1)
;; WHEN: Thu Oct 20 08:21:50 PDT 2016
;; MSG SIZE rcvd: 143
Comparez cela à Amazon.com lui-même:
Dig a Amazon.com
; <<>> Dig 9.10.3-P4-Ubuntu <<>> a Amazon.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 40326
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 0, ADDITIONAL: 0
;; QUESTION SECTION:
;Amazon.com. IN A
;; ANSWER SECTION:
Amazon.com. 23 IN A 54.239.25.208
Amazon.com. 23 IN A 54.239.17.7
Amazon.com. 23 IN A 54.239.26.128
Amazon.com. 23 IN A 54.239.25.192
Amazon.com. 23 IN A 54.239.17.6
Amazon.com. 23 IN A 54.239.25.200
;; Query time: 1 msec
;; SERVER: 192.168.88.1#53(192.168.88.1)
;; WHEN: Thu Oct 20 09:02:34 PDT 2016
;; MSG SIZE rcvd: 124
Ok, alors à qui appartient l'espace d'adressage IP pour le site potentiellement faux:
whois 136.147.104.32
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#
#
# The following results may also be obtained via:
# https://whois.arin.net/rest/nets;q=136.147.104.32?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2
#
NetRange: 136.147.0.0 - 136.147.255.255
CIDR: 136.147.0.0/16
NetName: SFDC-3
NetHandle: NET-136-147-0-0-1
Parent: NET136 (NET-136-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS14340
Organization: Salesforce.com, Inc. (SALESF-3)
RegDate: 2012-02-24
Updated: 2014-07-14
Ref: https://whois.arin.net/rest/net/NET-136-147-0-0-1
OrgName: Salesforce.com, Inc.
OrgId: SALESF-3
Address: 1 Market Street
Address: Suite 300
City: San Francisco
StateProv: CA
PostalCode: 94105
Country: US
RegDate: 1999-11-30
Updated: 2014-11-20
Ref: https://whois.arin.net/rest/org/SALESF-3
OrgAbuseHandle: NOC1403-ARIN
OrgAbuseName: Network Operations Center
OrgAbusePhone: +1-415-901-7000
OrgAbuseEmail: [email protected]
OrgAbuseRef: https://whois.arin.net/rest/poc/NOC1403-ARIN
OrgNOCHandle: NOC1403-ARIN
OrgNOCName: Network Operations Center
OrgNOCPhone: +1-415-901-7000
OrgNOCEmail: [email protected]
OrgNOCRef: https://whois.arin.net/rest/poc/NOC1403-ARIN
OrgAbuseHandle: SAN76-ARIN
OrgAbuseName: Salesforce Abuse NOC
OrgAbusePhone: +1-703-463-3219
OrgAbuseEmail: [email protected]
OrgAbuseRef: https://whois.arin.net/rest/poc/SAN76-ARIN
OrgTechHandle: NOC1403-ARIN
OrgTechName: Network Operations Center
OrgTechPhone: +1-415-901-7000
OrgTechEmail: [email protected]
OrgTechRef: https://whois.arin.net/rest/poc/NOC1403-ARIN
RNOCHandle: NOC1403-ARIN
RNOCName: Network Operations Center
RNOCPhone: +1-415-901-7000
RNOCEmail: [email protected]
RNOCRef: https://whois.arin.net/rest/poc/NOC1403-ARIN
RAbuseHandle: SAN76-ARIN
RAbuseName: Salesforce Abuse NOC
RAbusePhone: +1-703-463-3219
RAbuseEmail: [email protected]
RAbuseRef: https://whois.arin.net/rest/poc/SAN76-ARIN
RTechHandle: NOC1403-ARIN
RTechName: Network Operations Center
RTechPhone: +1-415-901-7000
RTechEmail: [email protected]
RTechRef: https://whois.arin.net/rest/poc/NOC1403-ARIN
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#
Donc PAS sur AWS. Comparez avec qui possède l'espace d'adressage IP hébergeant Amazon.com:
whois 54.239.26.128
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#
#
# The following results may also be obtained via:
# https://whois.arin.net/rest/nets;q=54.239.26.128?showDetails=true&showARIN=false&showNonArinTopLevelNet=false&ext=netref2
#
NetRange: 54.224.0.0 - 54.239.255.255
CIDR: 54.224.0.0/12
NetName: Amazon-2011L
NetHandle: NET-54-224-0-0-1
Parent: NET54 (NET-54-0-0-0-0)
NetType: Direct Allocation
OriginAS: AS16509
Organization: Amazon Technologies Inc. (AT-88-Z)
RegDate: 2012-03-01
Updated: 2012-04-02
Ref: https://whois.arin.net/rest/net/NET-54-224-0-0-1
OrgName: Amazon Technologies Inc.
OrgId: AT-88-Z
Address: 410 Terry Ave N.
City: Seattle
StateProv: WA
PostalCode: 98109
Country: US
RegDate: 2011-12-08
Updated: 2014-10-20
Comment: All abuse reports MUST include:
Comment: * src IP
Comment: * dest IP (your IP)
Comment: * dest port
Comment: * Accurate date/timestamp and timezone of activity
Comment: * Intensity/frequency (short log extracts)
Comment: * Your contact details (phone and email) Without these we will be unable to identify the correct owner of the IP address at that point in time.
Ref: https://whois.arin.net/rest/org/AT-88-Z
OrgTechHandle: ANO24-ARIN
OrgTechName: Amazon EC2 Network Operations
OrgTechPhone: +1-206-266-4064
OrgTechEmail: [email protected]
OrgTechRef: https://whois.arin.net/rest/poc/ANO24-ARIN
OrgAbuseHandle: AEA8-ARIN
OrgAbuseName: Amazon EC2 Abuse
OrgAbusePhone: +1-206-266-4064
OrgAbuseEmail: [email protected]
OrgAbuseRef: https://whois.arin.net/rest/poc/AEA8-ARIN
OrgNOCHandle: AANO1-ARIN
OrgNOCName: Amazon AWS Network Operations
OrgNOCPhone: +1-206-266-4064
OrgNOCEmail: [email protected]
OrgNOCRef: https://whois.arin.net/rest/poc/AANO1-ARIN
#
# ARIN WHOIS data and services are subject to the Terms of Use
# available at: https://www.arin.net/whois_tou.html
#
# If you see inaccuracies in the results, please report at
# https://www.arin.net/public/whoisinaccuracy/index.xhtml
#
Amazon.com est donc sur AWS, comme je le pensais.
À ce stade, je ne sais pas si l'e-mail est faux ou non. C'est ça? Si oui, comment ça marche? Il semble faire quelque chose avec OpenID, que se passe-t-il? Comment pourrais-je être sûr à l'avenir?
Je pense que oui, je viens de visiter http://amazonbusiness.com et il m'a redirigé vers https://www.Amazon.com/gp/help/customer/display .html /? nodeId = 50851 qui n'est pas une page d'entreprise.
Lorsque je google Amazon entreprise, le résultat de la recherche est pour https://www.Amazon.com/business et redirige vers https://www.Amazon.com/b2b/info/Amazon -business? layout = landing qui est une page d'entreprise Amazon.
Ces gars sont bons.
Hameçonnage; J'ai reçu un e-mail presque identique. J'ai pu vérifier auprès d'Amazon qu'il n'avait pas été envoyé par eux et devait être traité comme malveillant.
L'e-mail que j'ai reçu a été envoyé par "[email protected]". Il avait une apparence légèrement différente des graphiques et une formulation différente de la première ligne, mais il contenait les mêmes liens et était acheminé via les mêmes chemins suspects indiqués par l'op avant d'atterrir sur une page de connexion Amazon valide.
J'ai envoyé l'e-mail à Amazon, puis je les ai contactés par téléphone où ils étaient certains qu'il n'avait pas été envoyé par eux. Amazon a déclaré tenir un journal de chaque communication. Si vous les contactez à propos d'un e-mail que vous avez reçu, ils peuvent rapidement vérifier s'il a été envoyé par eux ou non.
J'espère que cela aide à éliminer toute question de savoir s'il s'agit ou non d'hameçonnage.
L'URL amazonbusiness.com semble être un domaine Amazon légitime. L'ICANN affiche les mêmes informations de registrant pour cette URL et pour Amazon.com.
Dans le cas où les détails d'inscription ont été falsifiés, ils ont tous les deux le même numéro de téléphone et de même adresse e-mail. Vous pouvez donc leur demander s'il s'agit d'un domaine Amazon valide.