mardi 12 avril 2011

De la "vraie" sécurité ou comment détecter une arnaque (ou pire) !

Plutôt orienté sur des questions de lutte informatique et autres aspects offensifs dans le domaine de la défense, ce blog n'en dédaigne pas moins les vraies questions de sécurité (et son auteur en est un fan) comme celle dont nous allons parler aujourd'hui...

Voici ce que j'ai reçu dans ma boite mail aujourd'hui :

Chère Madame, cher Monsieur, :

Cet email confirme que Vous avez bien crée un nouveau mot de passe et sélectionne des questions Secrètes pour votre compte

Si vous n’avez pas effectue ces Modifications
En effet le 25 Mars 2011 nous avons Prélever une somme erronée de 137.30 EURO Cet confusion est essentiellement du la Correspondance de vos noms et prénoms avec ceux d un autre Client.
A fin de procéder a un remboursement on votre faveur nous Vous prions de bien vouloir cliquer sur le lien ci-dessous et fournir toute Information susceptible d accélérer ce reversement.
Remplissez le formulaire information de en cliquant sur ce lien si Dessous:

https://verified.visa.com/aam/data/default/landing.aam?partner=default&resize=yes

(j'ai modifié le lien vers google pour les étourdis)

1-Connectez-Vous
2-Confirmer vos informations de compte.
3-Reconnectez vous.

Nous vous remercions de votre grande attention a cette Question. S'il vous plait comprenez que c'est une mesure de sécurité destinée a Vous protéger ainsi que votre compte. Nous nous excusons pour tout inconvénient...

Un rapide coup d'œil me révèle les éléments suivants :

=> le mail est convaincant mais demeure des "phôtes d'aurotografe" bien que celles-ci ne soit pas forcément choquantes si on lit très rapidement mais c'est déjà un premier indice...Je les indique en rouge ci-dessus sans être exhaustif...

=> le mail m'est à priori directement adressé et mon adresse semble être directement indiquée..

=> un lien est donné, qui semble valide, mais renvoie sur un domaine tout à fait différent...

Les erreurs de langage, le faux lien, la demande de fourniture indirecte des numéros/identifiants et une certaine paranoïa habituelle me font douter qu'il s'agit d'un mail de phishing. Si je me connecte sur ce lien, je trouverais certainement une page plus ou moins crédible avec une page de login qui, au mieux, me volera seulement mes identifiants et au pire, m'installera un malware...En l'occurence, j'y suis allé avec une machine virtuelle mais je n'ai rien trouvé de tel : peut-être le ménage a-t-il déjà été fait...

Le lien dissimulée renvoie donc à un domaine particulier (http://www.adripeeathome.com) ....N'y ALLEZ PAS... et plus précisément à un dossier "images" de l'arborescence. Profitant de Google, je fais quelques recherches et trouve rapidement des informations intéressantes : ce site a été piraté récemment et un défaçage semble avoir été effectué. L'élément intéressant est que l'URL qui permet de s'apercevoir de ce hack fait également référence à ce fameux dossier "images".

Notons d'ailleurs que mon fournisseur de mail ne l'a pas recensé comme un spam ou équivalent, il faut donc être attentif et ne pas compter que sur les automates.

En creusant un peu plus, dans le corps du mail et en faisant des recherches, on peut trouver des informations intéressantes :

- une adresse mail d'un envoyeur

- une adresse IP d'un serveur mail utilisé ici qui serait à priori en Turquie...avec son nom de domaine associé, on peut retrouver des coordonnées...

- une adresse IP d'un serveur utilisé pour un script qui conduit ici à un serveur identifié comme étant au Maroc...

Bref, tout ceci est très international mais n'a rien à voir avec Visa ou aucune affiliations quelconques. Etant déjà convaincu de la fausseté de ce mail, ces quelques recherches ne servent qu'à montrer qu'il est fort probable qu'un pirate ou un groupe a pu utiliser diverses ressources (serveur mail, serveur dns) dont il usurpe l'usage pour mener à bien tout cela...

J'avoue qu'après avoir relevé tout cela, je suis convaincu de la tentative mais ne sait pas forcément quoi en faire. La possession des adresses IP et l'association avec des noms de domaines permet également d'obtenir des coordonnées enregistrées dans les bases de données Whois...

Une bonne réaction pourrait alors de transmettre tout cela aux autorités compétences en France mais également, pourquoi pas, d'alerter, via les adresses "abuse" des domaines, les administrateurs des usages illégitimes de leurs machines (en supposant qu'ils soient honnêtes)...

A vos commentaires !

3 commentaires:

  1. Je vais t'embaucher dans l'équipe :D

    On nous remonte chaque semaine un petit lot de spam qui passent le filtrage de la messagerie...
    Et à chaque fois on sort un message équivalent au tien.
    Il s'agit d'un spam si :
    1) Il est bourré de fautes
    2) Il n'y a pas d'accents
    3) Le nom de site est douteux
    4) Les liens (en survolant) ne pointent pas vers le site indiqués
    5) Le formulaire proposé n'est pas en https (pour les champions qui cliquent quand même)

    Les conseils :
    1) Déclarez le message comme spam dans votre logiciel
    2) Mettez le message directement dans la poubelle
    3) Ne cliquez pas sur les liens pour vous désinscrire
    4) (Toujours pour les champions) Si vous avez communiqué un mot de passe allez tout de suite le modifier
    5) (Pour les cas désespérés) Si vous avez fourni des coordonnées bancaires, faites tout de suite opposition.

    J'ai toujours une certaine honte entre le fait que des messages aussi nuls passent les anti-spam et que les utilisateurs ne comprennent toujours pas. Ou encore pire, que l'utilisateur se sent tellement utile de nous remonter tous les spams qu'il reçoit. Comme si on allait pouvoir améliorer notre anti-spam...

    Toujours est-il qu'on reçoit des messages plus alarmants ces derniers temps. Les pirates recroisent leurs bases d'adresse mail pour les grouper par entreprise. Ainsi ils usurpent une adresse interne pour s'adresser à des collègues potentiels. Et là bingo les messages passent à quasi 100% l'anti-spam (mal configuré pour le coup) et tout ça avec des minables tentatives d'effet levier en bourse...

    Voyant tout ça je me demande comment on pourrait éviter de se manger un pdf vérolé et surtout quand est-ce que ça va arriver :)

    RépondreSupprimer
  2. Merci pour le commentaire qui sent le vécu :D !

    Je me demandais toutefois s'il y avait une valeur ajoutée à déclarer ces spams/phising aux services compétents.

    D'un côté, c'est un tout petit tiny machin truc donc pas très grave voire polluant pour leurs activités.

    D'un autre côté, il y a un peu de sophistication comme tu sembles le dire mais également la possibilité d'ordonner des bases de données et de découvrir des liens cachés...

    Du coup, j'hésite ^^ ! Un avis ?

    RépondreSupprimer
  3. C'est devenu tellement banal :/

    On a 800 000 spam par mois de bloqués.
    Ça correspond à 96% des mails utiles.

    Faut-il se battre pour les 400 par mois qui passent le proxy ?

    Je dirai donc "non, il ne faut pas s'embêter avec le spam" tant qu'il n'est pas ciblé. Est-ce encore du spam dans ce cas ? (Je te laisse y réfléchir :))

    Après catégoriser un mail en spam c'est le boulot des sociétés type IronPort. Elles ont toutes les boîtes honeypot avec plein de techniques pour se faire pourrir et des employés qui sont payés pour ça.

    L'intérêt de leur remonter un spam serait par exemple une banque qui subit une campagne de phishing pour limiter son impact...

    Et puis de toute façon on sait que c'est du réactif comme pour les antivirus... Une attaque ciblée passera toujours.

    RépondreSupprimer