Analyse de chaînes de lettres & des escrocs à l'escroqueries Ivoiriennes et nigérianes ====================================================================================== Voici ci-dessous le hoax "Amazonie", dans nouvelle nouvelle version "Nicolas Hulot/ john malkovitch". Le spameur "pseudo john malkovitch" me l'a envoyé 3 fois entre hier et aujourd'hui. Ce hoax marche particulièrement bien. Il abuse particulièrement la crédulité des bonnes volontés (plusieurs proches naïfs ou/et écologistes, me l'ont renvoyé en toute bonne foi, en me disant qu'il fallait faire quelque chose pour l'Amazonie). Chaque fois que le reçois, je "reroute" alors vers mes amis les URLs/pages décrivant le hoax, .. par les pages consacrées à ce hoax, sur les site www.hoaxbuster.com ou www.trendmicro.com ). Il y a, me semble-t-il, risque de mettre son adresse email en clair, sur nos sites web perso/professionnels etc. Et le fait que l'on reçoit régulièrement ce type de mail ainsi que ceux des escroqueries ivoiriennes et nigériannes, est peut-être la conséquence de cette prise de risque. Ci-joint, sinon, aussi l'analyse du routage (de l'IP tracking) de quelques mails d'escroqueries ivoiriennes ou nigérianes : l'analyse du routage de quelque uns de ces mails d'escrocs : ========================================================== Il y a des mails _ comme ce 1er mail "DE LA PART DE CHARLES ET LILIAN ANTHONY" de Côte d'Ivoire _ dont les adresses IP successives sont non localisables (66.18.69.6 puis 196.38.110.54) selon "networldmap". Selon "Paulding.net", l'adresse 66.18.69.6 et l'adresse 196.38.110.54 seraient toutes les deux à Johannesburg. Le second "AIDE TRES IMPORTANTE" de DE KELIAN SANGE (81.199.125.12) viendrait soit de la ville de Sumter, Caroline du Sud (selon networldmap), Soit de la "Rue du commerce, Plateau, Abidjan" (selon Paulding.net). Le troisième "RECHERCHE DE PARTNAIRE" de Francis Diara (62.37.236.186) vient d'un portail en Espagne (selon les 2 geotrackers). Le quatrième "BENSION D'ASSISTANCE" (213.173.154.4, puis 213.173.154.9 puis 196.201.79.178 puis 192.168.2.168) vient en apparence de d'Helsinki Finlande (selon les 2 geotrackers). puis de New-York (je suppose qu'ils brouillent peut-être les pistes). Pour ce 5° mail en anglais "AN ACT OF FATE ruix" (207.172.4.104 puis 24.161.55.158 puis 24.194.58.142), il viendrait de RCN corp à Princetown, puis il viendrait d'Herndon, Virginie, USA, (ou l'inverse) selon selon "Paulding.net". Pour ce 6° mail "URGENT" de Lucien (213.228.0.62), il vient de Nantes. Pour ce 7° mail "offr personnelle" de Sonia (213.136.116.143), il passe par un router "africanit.net" situé dans un pays africain (il ne sait pas lequel) selon "Paulding.net". Pour ce 8°, "Ensemble, traitons cette affaire" d'Emmanuel Otu Otu (62.37.236.187 puis 172.17.224.59), il passe par un portail en Espagne, puis par la ville de Marina del Rey en Californie, selon "Paulding.net". CE 9° mail "PERSONNAL" (81.199.125.27 puis 209.73.179.1) vient de "Rue du commerce, Plateau, Adidjan" puis vient du portail AltaVista à Sunnyvale en Californie, Le 11° mail "Charles, bonjour monsieur" de Charles (196.201.87.161) vient de "RIPE Network Coordination Centre" d'Amsterdam. Ce 12° mail "Je cherche un associé honnête" (62.37.236.185, 172.17.224.59) vient d'un portail internet en Espagne puis de Marina del Rey en Californie (ou le contraire), selon "Paulding.net". Ce 13° mail "très chers honorables" (217.146.176.80, 196.201.79.250), est du portail YHOO europe et avant du "RIPE Network" d'Amsterdam. Le 14° "BONJOUR" (212.74.114.48 et 212.74.112.91) vient de Wordonline et Tiscali Londres. Le 15° (213.215.147.12, 172.16.100.204, 196.201.79.85), vient de Txtpolymedia, Milan Italie, puis Marina del Rey CA, puis RIPE Network Coordination Centre (Amsterdam) ou le contraire. Le 16° "message de miss karine" (62.37.236.187, 172.17.224.59) vient d'un portail en Espagne, et de Marina del Rey (CA). Le 17° "charity donation wfqye" (80.178.86.24, 80.56.175.118, 194.159.175.252, 194.159.175.252, ), vient de "DNS REG 25 Hsivim st. Petach-Tiikva, Israel", puis "Chello Broadband, schiphol rijk, Hollande, et Thus PLC, Gateway House, 322 Regents Park Road, London, England. Le XX° est en provenance de Yamoussoucro, capitale politique de la côte d'Ivoire. Je m'arrête là. Comme on peut le voir, ils viennent du monde entier (Europe, USA, Afrique, Israël, et pas uniquement d'Afrique ou de Côte d'Ivoire ou d'Afrique du Sud !). Il faut savoir que ce n'est pas quelques escrocs qui réalisent ce type d'escroquerie, mais des maffias organisées voire puissantes, possédant informaticiens qui comme certaines sociétés privées ou les moteurs de recherches (google), balayent tout Internet pour récolter toutes les adresses e-mails qui peuvent être trouvées. Pour ces escrocs _ même s'ils pêchent dans leurs filets que 0,5 % de gogos répondant à leurs millions mails envoyés _, 0,5 % de gogos abusées c'est déjà énorme et cela peut engendrer des montants financiers énormes pour cette escroquerie. Benjamin LISAN PS. On peut localiser ces adresses IP grâce à certains sites web comme : http://www.networldmap.com/TryIt.htm?GetLocation Attention, il ne t'autorise l'utilisation de cette fonctionnalité que 10 fois. Autres géolocalisateurs d'IP : http://www.formyip.com/iplookup.php http://paulding.net/IPcheck.html Certains IP géolocalisateurs sont plus performants que d'autres. PS2. L'adresse IP 217.12.10.181 du mail "nature" de John Malkovich, vient de la ville de High Wycombe en Angleterre. Selon "Paulding.net", il viendrait de Londres. Sinon, "Paulding.net" (voir ci-dessous) indique Londres cette adresse IP, 217.12.10.173, pour un mail "John Malkovich".