Auteur Sujet: L'arnaque de l'iPhone / Samsung à 1€ décortiquée  (Lu 145286 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
L'arnaque de l'iPhone / Samsung à 1€ décortiquée
« le: 30 janvier 2015 à 22:57:12 »
L'arnaque à l'iPhone 6 gratuit décortiquée

Les clients se sentent mis en confiance par un sondage réalisé par leur opérateur sur le site survey.com
Une promesse d'un cadeau de plus de 75€ est fait qui va se terminer par un iPhone 6 ou 6+ au choix.
On passe en suite sur un site sécurisé https ou un paiement de 1euros est demandé pour les frais d'envoi.
Pour convaincre le client de payer tout de suite ces 1€, on lui offre une coque.

La réalité, c'est qu'il n'y a pas d'iPhone 6 gratuit, mais 3 jours d'abonnement à un service bidon de musique pour 1€, qui se transforment en abonnement à 79,99€/mois, si le client ne résilie pas pendant les 3 jours à 1€.

La publicité trompeuse qui s'affiche. Elle est personnalisée avec le nom de votre FAI.
Ici Bouygues Telecom, car je me suis connecté avec une Bbox, mais ce serait Orange si vous êtes clients Orange ou K-Net si vous êtes client K-Net (des clients K-Net se sont fait arnaquer et ont informés K-Net).


Cela n'aura échapé à personne, le nom de domaine survey.com est en fait un sous domaine.
Le véritable nom de domaine déposé est "com-annualsurvey.info" qui pointe vers l'IP 46.166.161.6


L'hébergement est fait dans la ville de Siauliai, en Lituanie (cela reste la CEE).
L'hébergeur est Baltic Servers.

Le questionnaire continue et il se raccourcie : seulement 4 questions pas forcèment compréhensibles...

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
L'arnaque à l'iPhone 6 gratuit décortiquée
« Réponse #1 le: 30 janvier 2015 à 22:58:21 »
A la fin du questionnaire après une animation qui fait croire qu'il vérifie les stokes, on nous propose un iPhone 6 ou un iPhone 6 plus gratuit, mais pas d'iPad Air qui est épuisé :


On est alors redirigé sur un autre site qui sent moins l'arnaque (site sécurisé https avec un nom domaine qui n'est pas un sous-domaine)
On demande l'adresse pour recevoir l'iPhone 6 et la page précise en gros qu'il faut payer 1€ de frais de port.

Le nom de domaine, qui pointe vers l'IP 144.76.105.234, est hébergé cette fois-ci en Allemagne, par l'hébergeur Hetzner Online AG.


La page suivante vous demandes les coordonnées bancaires pour layer 1€ :

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
L'arnaque à l'iPhone 6 gratuit décortiquée
« Réponse #2 le: 30 janvier 2015 à 22:58:30 »
Ceux qui lisent ce qui est en bas seront étonné de l'abonnement à 79,99€/mois mais comme on ne demande que de payer 1€.

La vérité est en fait écrit à la page précédente qui contrairement aux autres est très longue. ceux qui n'auront pas déroulé la page et lu tout le texte vont donc louper ceci :


La page en intégralité :

EMegamanu

  • Abonné Orange Fibre
  • *
  • Messages: 416
  • FTTH sur Villeurbanne et Oullins (69)
L'arnaque à l'iPhone 6 gratuit décortiquée
« Réponse #3 le: 30 janvier 2015 à 23:05:10 »
A noter que même avec un peu naïveté, un e-carte bleu évitera les écueils :
- plafond prédéterminé limité
- durée limitée à 1 mois

Le réflexe à avoir est donc de ne plus donner son véritable numéro de carte bancaire et systématiquement passer par ce service de sa banque...

Enfin, ce n'est pas toujours faisable partout (typiquement tout ce qui est réservations ou abonnements). Là par exemple je galère à me faire rembourser par Amazon un article arrivé endommagé. Celui-ci exige en effet un numéro de CB qui puisse être valable au moins 30 jours dans sa procédure de remboursement.

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
L'arnaque à l'iPhone 6 gratuit décortiquée
« Réponse #4 le: 30 janvier 2015 à 23:10:51 »
Oui, une e-carte bleu est vraiment un plus pour limiter les dégâts.

Il y a plusieurs banques en ligne qui propose des cartes gratuites, mais une seule permet de bloquer sa carte physique pour qu'elle ne soit pas utilisable en ligne : Fortuneo.

Une fois la carte physique bloquée, on est obligé de passer par des cartes virtuelles avec un montant et une durée de validité déterminé par l'utilisateur carte par carte.


Ces cartes virtuelles sont aussi gratuites et non limitées en nombre.

Pour le certificat SSL, il faut aussi se méfier des sites marchant qui n’authentifient que le nom de domaine pour le certificat SSL :

Le champ "Organisation" est vide, c'est mauvais signe :


Le certificat n'a validé que le nom de domaine :


Un vrai site marchand va authentifier sa société dans le certificat SSL et pas uniquement le nom de domaine qui n'importe qui peut prendre.

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
L'arnaque à l'iPhone 6 gratuit décortiquée
« Réponse #5 le: 30 janvier 2015 à 23:21:11 »
J'ai du me prendre un certificat avec un wildcard (*.nom de domaine) et celui qui le propose le moins cher, StartCom SSL demande à valider dans ce cas là au moins l'identité de la personne.

J'ai du fournir deux pièces d'identité (passeport + carte nationale d'identité) + ma facture de téléphone et j'ai reçu un coup de téléphone des USA pour me poser des questions supplèmentaires et vérifier que tout est cohérent, tout cela pour pouvoir mettre "Vivien GUEANT" dans le champ Organisation du certificat SSL :

corrector

  • Invité
Certificats TLS avec joker
« Réponse #6 le: 31 janvier 2015 à 03:12:58 »
J'ai du me prendre un certificat avec un wildcard (*.nom de domaine) et celui qui le propose le moins cher, StartCom SSL demande à valider dans ce cas là au moins l'identité de la personne.

J'ai du fournir deux pièces d'identité (passeport + carte nationale d'identité) + ma facture de téléphone et j'ai reçu un coup de téléphone des USA pour me poser des questions supplèmentaires et vérifier que tout est cohérent, tout cela pour pouvoir mettre "Vivien GUEANT" dans le champ Organisation du certificat SSL :

Je comprends qu'ils le fassent.

Attention, je ne dis pas que c'est justifié d'un point de vue purement technique : on pourrait appliquer les mêmes principes à *.example.com qu'à example.com. Après tout, le DNS est hierarchique et donc si quelqu'un contrôle example.com il controle tous les X.example.com.

Mais il y a un effet psychologique : tu pourrais créer (toi ou n'importe qui ayant volé des identifiants ou ayant trompé le registre (*)) le site https://credit-lyonnais.testdebit.info/ (pour voir les débits et les crédits sur son compte) ce qui serait un peu plus efficace pour les anarques que xvcszef.ksnrepof.ru

StartCom SSL tente d'éviter ce genre de choses en recherchant les noms de sociétés connues (connues où? par qui?) dans le FQDN, ce qu'il ne peut bien sûr pas faire avec un joker. Il se couvre donc en demandant une identité physique.

(*) Pirater un registre, quelle idée! Trop difficile? C'est ce que je pensais.
Mais ça, c'était avant!
L'ICANN victime d'un piratage, des données personnelles en fuite

corrector

  • Invité
L'arnaque à l'iPhone 6 gratuit décortiquée
« Réponse #7 le: 31 janvier 2015 à 06:05:38 »
La page suivante vous demandes les coordonnées bancaires pour layer 1€ :
[/size]
Comment se fait l'interface entre le site et la banque?

Ils transmettent les données bancaires une seule fois ou bien chaque mois?

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
L'arnaque à l'iPhone 6 gratuit décortiquée
« Réponse #8 le: 31 janvier 2015 à 08:51:35 »
Voici l'URL pour arriver sur la page en question, si tu as envie de regarder la suite...
https://public.allyourmusic.net/lp/542/2-2370/?aid=4477798&vcode=17b095

corrector

  • Invité
L'arnaque à l'iPhone 6 gratuit décortiquée
« Réponse #9 le: 31 janvier 2015 à 08:53:37 »
Voici l'URL pour arriver sur la page en question, si tu as envie de regarder la suite...
https://public.allyourmusic.net/lp/542/2-2370/?aid=4477798&vcode=17b095
Attention, l'offre expire le 32 janvier d'après cette page.

Voir aussi http://www.complaintsboard.com/complaints/allyourmusicnet-purchasing-an-iphone-for-1-c741715.html
« Modifié: 31 janvier 2015 à 09:15:11 par corrector »

vivien

  • Administrateur
  • *
  • Messages: 47 085
    • Twitter LaFibre.info
L'arnaque à l'iPhone 6 gratuit décortiquée
« Réponse #10 le: 31 janvier 2015 à 09:04:54 »
Le concours pour gagner un iPhone6 "prendra fin le 31 décembre 2014" mais de toute façon ils pouvaient remplacer l'iPhone6 par une carte de bon d'achat sur le site de musique bidon de 650€, soit en réalité 8 mois d'abonnement. Pour moi il n'y a jamais eu d'iPhone6 gagnés...


K-L

  • Abonné SFR THD (câble)
  • *
  • Messages: 4 651
  • HFC 100 Mbs / FTTH 1Gbs sur Oullins (69)
    • Cable Rhone
L'arnaque à l'iPhone 6 gratuit décortiquée
« Réponse #11 le: 31 janvier 2015 à 09:58:03 »
Ce que je trouve assez suprenant, contrairement aux AdWare habituels, c'est que ce Survey s'affiche sur n'importe quel système d'exploitation et n'importe quel navigateur (rencontré avec Linux/Firefox, Safari/Yosemite, Odyssey/AmigaOS 4 et Odyssey/MorphOS.

Et même avec les cookies nettoyés.