Visio MSN + chantage

Le
Secure
Bonjour,

Lors d'une discussion de drague sur MSN je me suis laissé séduire par
une demoiselle qui a insisté pour voir des parties intimes de mon corps.
C'était en réalité un piège, quelques minutes après la personne m'a
demandé une grosse somme d'argent en me menaçant d'envoyer la vidéo
compromettante à tous mes contacts facebook. Pour me montrer sa
détermination il m'a envoyé le lien de la vidéo qu'il venait d'uploader
sur youtube.

J'ai tout de même eu le temps de capturer son ip avec un netstat -an :

tcp 0 0 desktop:56938 sn1msg2020204.phx.:msnp ESTABLISHED
tcp 0 0 desktop:50773 ew-in-f100.1e100.ne:www TIME_WAIT
tcp 0 0 desktop:34224 sn1msg2020201.phx.:msnp CLOSE_WAIT
tcp 0 0 desktop:45522 sn1msg2010704.phx.:msnp CLOSE_WAIT
tcp 0 0 desktop:51486 manage.datingday.sp:www TIME_WAIT
tcp 0 0 desktop:58800 by2msg4010805.phx.:msnp CLOSE_WAIT
tcp 0 0 desktop:58297 by2msg1010519.gate:msnp CLOSE_WAIT
tcp 0 0 desktop:60130 sn1msg1010705.phx.:msnp CLOSE_WAIT
tcp 0 0 desktop:52398 ww-in-f91.1e100.net:www TIME_WAIT
tcp 0 0 desktop:47428 208.48.95.*:9000 TIME_WAIT
tcp 0 0 desktop:56353 sn1msg2020209.phx.:msnp CLOSE_WAIT
tcp 0 0 desktop:43101 pv-in-f113.1e100.ne:www TIME_WAIT
tcp 0 0 desktop:42237 sn1msg2020132.phx.:msnp ESTABLISHED
tcp 0 0 desktop:53210 sn1msg1010808.phx.:msnp CLOSE_WAIT
tcp 0 0 desktop:59327 by2msg4020705.phx.:msnp CLOSE_WAIT
tcp 0 0 desktop:46719 imap.laposte.net:imap2 CLOSE_WAIT
tcp 0 0 desktop:42941 by2msg1020720.gate:msnp ESTABLISHED
tcp 0 0 desktop:52155 sn1msg1010708.phx.:msnp CLOSE_WAIT
tcp 0 0 desktop:42528 66.249.92.104:www TIME_WAIT
tcp 0 0 desktop:60916 by2msg1020105.gate:msnp CLOSE_WAIT
tcp 0 0 desktop:55683 by2msg4010507.phx.:msnp CLOSE_WAIT
tcp 0 0 desktop:50159 208.48.95.*:9010 TIME_WAIT
tcp 0 0 desktop:34237 sn1msg1010809.phx.:msnp CLOSE_WAIT

Je ne connais pas le protocole MSN mais je suppose que les ports 9000 et
9010 ont été utilisé pour recevoir le flux vidéo vu qu'il ne reste que
du www et du msnp. Ce qui est étrange c'est qu'une session telnet révèle
que les ports 9000 et 9010 sont ouverts, si on se connecte via le
navigateur la page http:// 208.48.95.*:9000 renvoit :

TSP/1.0 414 Command Length Error

et http://208.48.95.*:9010/ renvoit :

Apache Tomcat/4.0.3 - HTTP Status 404 - /
type Status report
message /
description The requested resource (/) is not available.

A la première heure j'ai déposé plainte à la gendarmerie en leur
fournissant l'ip 208.48.95.* qui serait géographiquement localisée en
californie. Comment expliquer ce serveur Tomcat, ne s'agirait il pas
d'un proxy? J'ai également pensé qu'il aurait pu se servir de tomcat
pour capturer le flux vidéo.
Pensez vous que je sois sur la bonne piste?
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
GuiGui
Le #22335931
Secure a écrit :

Lors d'une discussion de drague sur MSN je me suis laissé séduire par
une demoiselle qui a insisté pour voir des parties intimes de mon corps.



Ben voyons, on fait tous ça tous les jours ;-)

Personnellement, je laisse voir mes parties intimes... dans l'intimité.


C'était en réalité un piège, quelques minutes après la personne m'a
demandé une grosse somme d'argent en me menaçant d'envoyer la vidéo
compromettante à tous mes contacts facebook. Pour me montrer sa
détermination il m'a envoyé le lien de la vidéo qu'il venait d'uploader
sur youtube.



Oui, je suppose que le posteur est basé qq part en Afrique. Ça n'est pas
une première


J'ai tout de même eu le temps de capturer son ip avec un netstat -an :




.../...


A la première heure j'ai déposé plainte à la gendarmerie en leur
fournissant l'ip 208.48.95.* qui serait géographiquement localisée en
californie. Comment expliquer ce serveur Tomcat, ne s'agirait il pas
d'un proxy? J'ai également pensé qu'il aurait pu se servir de tomcat
pour capturer le flux vidéo.
Pensez vous que je sois sur la bonne piste?




Vu ce que renvoie ARIN comme propriétaire du bloc IP, il est probable
qu'une des machine de la société soit compromise et fasse partie d'un
Botnet.
Secure
Le #22336211
GuiGui a écrit :

A la première heure j'ai déposé plainte à la gendarmerie en leur
fournissant l'ip 208.48.95.* qui serait géographiquement localisée en
californie. Comment expliquer ce serveur Tomcat, ne s'agirait il pas
d'un proxy? J'ai également pensé qu'il aurait pu se servir de tomcat
pour capturer le flux vidéo.
Pensez vous que je sois sur la bonne piste?




Vu ce que renvoie ARIN comme propriétaire du bloc IP, il est probable
qu'une des machine de la société soit compromise et fasse partie d'un
Botnet.



Merci pour ces précisions, mais quel est le lien entre la visio sur MSN
et un serveur tomcat sur le port 9010 ? Et le port 9000 qui renvoit
TSP/1.0 414 Command Length Error
quelle en est la signification?
Stephane Catteau
Le #22336461
Secure devait dire quelque chose comme ceci :

Vu ce que renvoie ARIN comme propriétaire du bloc IP, il est probable
qu'une des machine de la société soit compromise et fasse partie d'un
Botnet.



Merci pour ces précisions, mais quel est le lien entre la visio sur MSN
et un serveur tomcat sur le port 9010 ?



Aucun si ce n'est que la présence de tomcat sur cette machine du
botnet permet d'utiliser une applet java pour en faire un joli proxy
MSN. Là c'était une applet java sur un tomcat, mais ça aurait aussi
bien pu être un script Perl ou python, un binaire, ou en fait n'importe
quoi d'autre capable de servir de relais.


Et le port 9000 qui renvoit TSP/1.0 414 Command Length Error
quelle en est la signification?



Que la commande que tu as envoyée n'est pas assez longue, pour la
bonne raison que tu n'en as pas envoyée.


Cela étant dit, ces réponses ne sont pas plus utiles que les questions
elles-mêmes. La jeune femme est passée par un proxy situé sur un
botnet, il n'est pas possible de remonter jusqu'à elle de cette façon,
point. Une fois que l'usage d'un proxy est avéré, le reste ne sert à
rien, ce n'est pas en ayant la liste complète des services présents sur
la machine ayant servi de relais, la raison de leur présence et leur
utilisation, que tu en sauras plus sur les coupables.
Stephane Catteau
Le #22336491
[supersedes pour complément]
Secure devait dire quelque chose comme ceci :

Vu ce que renvoie ARIN comme propriétaire du bloc IP, il est probable
qu'une des machine de la société soit compromise et fasse partie d'un
Botnet.



Merci pour ces précisions, mais quel est le lien entre la visio sur MSN
et un serveur tomcat sur le port 9010 ?



Aucun si ce n'est que la présence de tomcat sur cette machine du
botnet permet d'utiliser une applet java pour en faire un joli proxy
MSN. Là c'était une applet java sur un tomcat, mais ça aurait aussi
bien pu être un script Perl ou python, un binaire, ou en fait n'importe
quoi d'autre capable de servir de relais.


Et le port 9000 qui renvoit TSP/1.0 414 Command Length Error
quelle en est la signification?



Que la commande que tu as envoyée n'est pas assez longue, pour la
bonne raison que tu n'en as pas envoyée.


Cela étant dit, ces réponses ne sont pas plus utiles que les questions
elles-mêmes. La jeune femme est passée par un proxy situé sur un
botnet, il n'est pas possible de remonter jusqu'à elle de cette façon,
point. Une fois que l'usage d'un proxy est avéré, le reste ne sert à
rien, ce n'est pas en ayant la liste complète des services présents sur
la machine ayant servi de relais, la raison de leur présence et leur
utilisation, que tu en sauras plus sur les coupables.

Si vraiment tu veux un début de piste, c'est plutôt dans le passé que
tu dois regarder. Cette personne n'a pas trouvé ton adresse MSN par
hasard, où et comment a-t-elle pu la trouver ? Le chantage repose sur
la diffusion de la vidéo à tes contacts facebook, pour faire cela il
faut avoir la liste de tes contacts. Ton profil/mur/blablabla[1] est-il
bien restreint à tes seuls amis[2] ? Si oui, c'est donc probablement
quelqu'un qui est déjà dans tes amis[2].
Etudiant, chercheur, professeurs, membre de l'encadrement ? Si la
bonne réponse est l'une des deux dernières, ça peut n'être qu'une
vengeance, qui aurait des raisons de t'en vouloir ? ou une simple
blague de mauvais goût.
Enfin, quoi qu'il en soit, c'est en cherchant du côté de, "qui a pu
avoir ton adresse MSN", et de, "qui pourrait avoir une liste plus ou
moins exhaustive de tes contacts facebook", que tu auras une chance de
trouver la réponse, pas en cherchant du côté d'une machine qui n'est
qu'un zombi parmis d'autres sur le réseau.


[1]
Choisir le mot approprié.
[2]
Quel terme innapproprié.
Secure
Le #22336541
Stephane Catteau a écrit :

Si vraiment tu veux un début de piste, c'est plutôt dans le passé que
tu dois regarder. Cette personne n'a pas trouvé ton adresse MSN par
hasard, où et comment a-t-elle pu la trouver ? Le chantage repose sur
la diffusion de la vidéo à tes contacts facebook, pour faire cela il
faut avoir la liste de tes contacts. Ton profil/mur/blablabla[1] est-il
bien restreint à tes seuls amis[2] ? Si oui, c'est donc probablement
quelqu'un qui est déjà dans tes amis[2].
Etudiant, chercheur, professeurs, membre de l'encadrement ? Si la
bonne réponse est l'une des deux dernières, ça peut n'être qu'une
vengeance, qui aurait des raisons de t'en vouloir ? ou une simple
blague de mauvais goût.
Enfin, quoi qu'il en soit, c'est en cherchant du côté de, "qui a pu
avoir ton adresse MSN", et de, "qui pourrait avoir une liste plus ou
moins exhaustive de tes contacts facebook", que tu auras une chance de
trouver la réponse, pas en cherchant du côté d'une machine qui n'est
qu'un zombi parmis d'autres sur le réseau.



Bonjour,

J'ai rencontré cette personne sur un site de rencontres et c'est moi qui
l'ait abordée, quand à mes contacts facebook je ne les avais tout
simplement pas restreints. J'ai affaire à un individu professionnel dans
ce type d'arnaques, malheureusement je n'ai pas d'autres pistes à
explorer pour le moment, mais si vous avez une idée je prends.
GuiGui
Le #22336651
Secure a écrit :


Merci pour ces précisions, mais quel est le lien entre la visio sur MSN
et un serveur tomcat sur le port 9010 ? Et le port 9000 qui renvoit
TSP/1.0 414 Command Length Error
quelle en est la signification?



Le lien est peut-être justement un serveur tomcat compromis qui sert de
relais pour le botnet en créant un tunnel entre le pécheur et le poisson.
GuiGui
Le #22336641
Secure a écrit :


J'ai rencontré cette personne sur un site de rencontres et c'est moi qui
l'ait abordée



Il eut mieux valu donner un RDV dans un lieu public pour s'assurer de la
personne. Dans ce genre d'arnaque, celui qui est derrière le clavier
ressemble rarement à la photo. Et commencer à payer en pensant s'en
sortir n'aboutit en général qu'à amorcer la pompe.
Secure
Le #22336681
GuiGui a écrit :
Secure a écrit :


Merci pour ces précisions, mais quel est le lien entre la visio sur
MSN et un serveur tomcat sur le port 9010 ? Et le port 9000 qui
renvoit TSP/1.0 414 Command Length Error
quelle en est la signification?



Le lien est peut-être justement un serveur tomcat compromis qui sert de
relais pour le botnet en créant un tunnel entre le pécheur et le poisson.



Ok c'est la conclusion à laquelle j'étais arrivé, donc puisque j'ai le
nom de la société Américaine qui gère le serveur, le procureur peut
exiger les logs du routeur de cette machine pour remonter à l'adresse IP
du pêcheur?
Stephane Catteau
Le #22337161
Secure devait dire quelque chose comme ceci :

J'ai rencontré cette personne sur un site de rencontres [...]



Français le site ? Il a une charte, des conseils d'utilisations ou un
truc comme ça ? Quelles sont les conditions d'inscriptions ? Tu peux
regarder aussi de ce côté là.


quand à mes contacts facebook je ne les avais tout simplement pas
restreints



C'est probablement un peu tard maintenant, mais ça ne mange pas de
pain de le faire.
Stephane Catteau
Le #22337151
Secure n'était pas loin de dire :

Ok c'est la conclusion à laquelle j'étais arrivé, donc puisque j'ai le
nom de la société Américaine qui gère le serveur, le procureur peut
exiger les logs du routeur de cette machine pour remonter à l'adresse IP
du pêcheur?



Ce n'est pas aussi simple que cela :

1) Rien ne te garantie que le procureur acceptera de faire la
demande[1] ;
2) La société américaine ne sera tenu de répondre favorablement à la
demande que si la justice américaine le lui impose ;
3) Le routeur ne log pas forcément tout le trafic et/ou les logs ne
sont pas conservés suffisement longtemps ;
4) La machine peut aussi bien être reliée directement au vaste monde
et c'est donc au FAI/FSI de la société qu'il faudrait le demander ;
4a) Si le procureur ne se satisfait pas d'un traceroute, il faut
retourner en 1 pour que la société américaine donne le nom de son
FAI/FSI, puis retourner en 1 de nouveau pour entamer la procédure
contre le FAI/FSI ;
5) L'escroc ne s'est surement pas contenté d'un seul rebond et tu
devras donc refaire toute la procédure pour obtenir les informations
nécessaires de la part du propriétaire légitime qui sera identifiée si
tu arrives jusque là.

A considérer que tout ce passe bien et qu'il n'y ait que trois rebond,
compte deux à trois ans avant que le coupable ne soit identifié de
cette façon.




[1]
C'est loin d'être un simple bout de papier envoyé à l'étranger.
Publicité
Poster une réponse
Anonyme