L’email Tracking (par George Abitbol)

Dans l’épisode précédent, un certain Julien Renault essayait de m’arnaquer avec la bonne vieille technique du mandat cash. Ce volontaire désigné servira donc d’exemple à une ancestrale mais non moins efficace technique de Spam, communément appelée email tracking.

Après avoir « trouvé » une liste d’adresses email, les spammeurs cherchent toujours à connaître la validité des adresses collectées. Pour ce faire, la méthode la plus connue est celle de l’email tracking (ou suivi de courriel dans la langue de Marc Levy), que notre ami Julien va nous faire le plaisir d’illustrer.

Principe

Joindre une image (distante) à un email pour que, une fois chargée, le serveur où est stockée l’image enregistre la requête de chargement, prouvant l’activité de l’adresse email cible.

Prise de contact avec la « victime »

J’ai commencé par me créer une adresse quelconque : george.abitbol94@laposte.net pour contacter directement le fameux Julien Renault en ces termes :

Bonjour, vous m’avez envoyé un SMS pour me demander des photos du véhicule que je veux vendre. Donc j’ai mis les photos en pièce jointe.
Il y a une petite rayure sur le capot (j’ai éraflé un gros rocher une fois, mais sans gravité), mais la propulsion marche très très bien !

En espérant que le véhicule vous satisfasse.

A ce mail était jointe la photo suivante :

Véhicule à vendre
Occasion : seulement 52 000 A.L. au compteur !

Le but était donc triple :

  • Tester la culture cinématographique de notre zouave
  • vérifier sa méthode de collecte des adresses email pour les arnaques
  • obtenir l’adresse IP de l’arnaqueur

Ce à quoi Julien a répondu sa réponse habituelle, me disant qu’il était prêt à me l’acheter, mais qu’il est sur une île etc. (voir ici pour rappel). On a donc réponse aux deux premiers points :

  • il ne connaît pas George Abitbol
  • il ne fait aucune association entre SMS et email, et ne prend pas même le soin de regarder les photos jointes.

Maintenant assuré d’avoir son attention, c’est à nous de jouer.

Mise en place du tracking

Tout d’abord, il nous faut un serveur Apache (ou autre), sur lequel placer l’image qui va servir pour le tracking. J’ai donc uploadé une image quelconque sur le serveur de mon site perso, à une adresse assez improbable pour que personne ne tombe dessus « par hasard ».

It's a trap!
Image quelconque, mais pas tant

Ensuite, il nous suffit de rédiger un mail à la victime du tracking en HTML, et d’inclure la photo dans le corps de mail. Avant d’envoyer le tout, il faut s’assurer que le destinataire va bien afficher la photo avec une petite accroche genre « voir photo ci-dessous ». Reste à surveiller les logs du serveur pour attendre que le client consulte ses mails et affiche l’image.

Et enfin :

Log de mon serveur Apache
Log de mon serveur Apache

Bingo ! On connaît donc maintenant l’adresse IP de la victime. Il nous est même maintenant possible de remonter jusqu’à sa localisation géographique, et découvrir sans trop de surprise que notre ami nous a écrit depuis La Côte d’Ivoire.

De plus, on remarque une information très intéressante : c’est une IP fixe ! J’ai ainsi pris le soin de blacklister cette adresse sur mon site. Notre pauvre ami n’aura donc probablement jamais le plaisir de lire ces lignes…

Du point du vue du spammeur

Du point de vue d’un spammeur, obtenir l’adresse IP d’un client ne présente pas vraiment d’intérêt ; il lui suffit de voir que vous avez téléchargé l’image pour le satisfaire. Pour avoir une vérification nominative de chaque adresse, il lui faut potentiellement autant d’images que d’adresses à vérifier.

Dans la pratique, le spammeur va associer un identifiant unique à chaque adresse, et le passer en option dans l’URL de l’image à joindre (une fausse fonction GET pour les fanas de PHP). Exemple avec un mail que j’ai reçu de SFR, si je regarde la source du mail :

<img src=3D"http://envoi.contact-sfr.com/_v.aspx?i=3D10502639&m=3D12690=&ue=3D465951388" width=3D"1" height=3D"1" />

Rien ne prouve que i=3D10502639, m=3D12690 ou ue=3D465951388 ne serve à SFR à me tracer, mais pourquoi s’en priveraient-il ?

C’est donc pour cela que, maintenant, la plupart des clients mails (softs et webmail) bloquent par défaut les images externes aux mails.