In FCM#188 (December 2022), a ‘My Opinion’ article by Erik concerning security and how to be safe on your computer, was published. When I read it (actually, I probably translated it for the French magazine), I felt as though I was pretty safe, according to his guidelines, although having a password for every important email address (doctor, dentist, etc) is beyond me in my senior years. Because of a recent experience, I have become far more humble. On the 19th of June, I received an email from Amazon thanking me for having subscribed to Amazon Prime after my trial month and telling me that the subscription would go into effect on the 21st for 49.95 euros per year. If, however, I wanted to cancel it, I had only to click on the typical yellow Amazon button to go to a website (the address of which was Amazon.fr (plus a whole bunch of weird letters), and go through the moves.
Titre : FAUTE SÉCURITAIRE
Dans le FCM n° 188 (décembre 2022), un article d'Erik concernant la sécurité et comment rester en sécurité sur votre ordinateur a été publié dans la rubrique Mon opinion. Quand je l’ai lu (en fait, je l’ai sans doute traduit pour le magazine en français), j’avais l’impression que je faisais tout selon ses directives, bien qu’un mot de passe pour chaque adresse mail importante (médecin, dentiste, etc.) me dépasse, étant donnée mon état de « senior ».
À cause d’une expérience récente, je suis devenue nettement plus humble. Le 19 juin, j’ai reçu un mail de la part d’Amazon, me remerciant de m'être abonnée à Amazon Prime après mon mois d’essai et me disant que l’abonnement serait effectif le 21 pour 49,95 € par an. Si, cependant, je voulais l’annuler, il me suffisait de cliquer sur le bouton jaune typique d’Amazon pour aller sur un site Web (dont l’adresse était Amazon.fr suivi d'une foule de lettres bizarres) et suivre la procédure indiquée.
It is true that, after ordering something a bit before, I had found that I had somehow subscribed to a trial month of Amazon Prime, BUT, as far as I knew, I had immediately canceled its conversion into a true subscription. For that reason, the email sent to my email address for Amazon disturbed me no end. The sender (Amazon Prime) looked legitimate. The cancellation button looked legitimate. And so I clicked on it and found myself faced with another “legitimate” yellow button with a contextual menu that gave various choices of my reason for a cancellation. And I picked one – something like My Subscription was a mistake… Then I gave my name, my address, and my PASSWORD to Amazon. Can you believe this? When I think about it, I certainly can’t. On the right, there was a space to fill out my credit card information. Above that, there was a spiel as to how protected this was, encrypted, and so on and so forth. At the top of the space to fill in, was the right expiration date for a Visa gift card I had registered with Amazon. So I went to get my “real” Visa card. They requested, not only the number, but also the expiration date and that three-digit number on the back. What could that possibly be for (ha ha ha)?
Il est vrai que, après avoir commandé quelque chose il y a peu de temps, j’avais trouvé que, d’une façon ou d'une autre, je m’étais abonnée à un mois d’essai d’Amazon Prime, MAIS, à ma connaissance, j’avais tout de suite annulé sa conversion en un vrai abonnement. À cause de cela, le mail reçu sur l’adresse qu’utilise Amazon m’a vraiment perturbée. L’envoyeur (« Amazon Prime ») semblait légitime. Le bouton d’annulation semblait légitime. Et j’ai donc cliqué dessus ; là, je voyais un autre bouton jaune « légitime » avec un menu déroulant qui donnait des choix de la raison de l’annulation. J’en ai choisi une, quelque chose comme L’abonnement était une erreur.
Ensuite, j’ai donné mon nom, mon adresse et mon MOT DE PASSE pour Amazon. Est-ce croyable ? Quand j’y pense, je suis totalement abasourdie. À droite, je voyais des zones où je devais mettre les informations sur ma carte de crédit. Au-dessus, il y avait un laïus insistant sur le fait que ces renseignements étaient vraiment protégés, cryptés, etc., etc. Juste au-dessus de la zone à remplir, il y avait la vraie date d’expiration d’une carte cadeau Visa que j’avais enregistrée avec Amazon. Tout paraissait légitime et je suis allée chercher ma vraie carte Visa. Il fallait donner, non seulement le numéro, mais également la date d’expiration et le truc à trois chiffres au dos. Je me demande bien pourquoi (ha ha ha)…
My mind finally kicked in and I realized that this whole thing definitely couldn’t be legitimate, so I erased everything and stopped. Thank goodness! I then went onto my legitimate Amazon account where there was no mention at all of Amazon Prime. On the other hand, on one of the pages, I found that Amazon said clearly that they would never request either your password or your credit card number. (Of course you register a number to pay for legitimate purchases, but that is quite a different kettle of fish.) Tip number one: If you get any unexpected request in an email “from Amazon”, begin by going onto your own bona fide Amazon account. Yes, I know, I’m assuming you do have an account on Amazon, but it’s so convenient that many people do these days. Tip number two: If your email account has a site for your emails as webmail (mine is on Zimbra), go there and check out the email you just received. When I did that, it turned out that the message that looked totally legitimate came from a really strange address in, of all places, Japan.
J'ai enfin récupéré mes esprits et je me suis rendu compte que tout cela ne pouvait en aucun cas être légitime. J’ai donc tout effacé. Point barre et Dieu merci ! Ensuite, je suis allée sur mon véritable compte chez Amazon où Amazon Prime n’était aucunement mentionné. En revanche, sur l’une des pages, j’ai vu qu'Amazon ne demanderait jamais ni votre mot de passe ni votre numéro de carte de crédit. (Bien entendu, vous enregistrez un numéro de carte pour pouvoir acheter des articles, mais ça c’est une toute autre chose.)
Première astuce : Si vous recevez une requête inattendue dans un mail soi-disant d’Amazon, commencez par aller sur votre propre compte Amazon. Oui, je sais, je suppose que vous avez un compte sur Amazon, mais c’est tellement commode que beaucoup de personnes en aient un de nos jours.
Deuxième astuce : Si votre compte mail a un site pour vos mails en tant que webmail (le mien est sur Zimbra), allez-y pour regarder le mail que vous venez de recevoir. Quand je l’ai fait, il s’est avéré que le message qui semblait on ne peut plus légitime venait d’une très bizarre adresse au Japon !
My next task was informing Amazon of this. It took a while to navigate through their pages, but I finally came to one where an address was given: stop-spoofing@Amazon.com so, as requested, I sent them the full weird URL that was purportedly theirs. They have since thanked me for letting them know and reminded me to change my password to their site. Interestingly enough, when I went onto Amazon for the first time since the mess, I had to go through a session of, not double, but triple, authentication so I think I can assume that they took my report quite seriously. I know that this article is not about Ubuntu, but I felt it was worth writing so that none of our readers who are wholly confident in their security measures will fall into the same well-wrought trap that I did. It was an awful, guilt-making, experience, and one that you definitely want to avoid.
La tâche suivante était de le signaler à Amazon. Il m’a fallu du temps pour parcourir leurs pages, mais je suis enfin arrivée sur l'une où l’adresse stop-spoofing@Amazon.com était fournie et, comme demandé, je leur ai envoyé l’URL complète qui était censée leur appartenir. Depuis, il m’ont remercié d'avoir signalé le problème et m’ont rappelé de changer le mot de passe de mon compte.
Quand je suis allée sur Amazon pour la première fois depuis tout cela, c’était intéressant de constater qu’il fallait que je passe par, non pas une authentification double, mais triple ! Ainsi, je pense pouvoir supposer qu’ils ont traité mon rapport très sérieusement.
Je sais que cet article ne concerne pas Ubuntu, mais je pensais que l’écrire pourrait être utile dans le cas où l’un(e) de nos lecteurs/lectrices qui font entièrement confiance à leurs mesures de sécurité ne se laisse tomber dans le même piège - qui était extraordinairement bien fait - que moi. L’expérience était affreuse et je m’en culpabilise encore. Vous devez l’éviter à tout prix.