Pishing FR

Le 27 May 2005 13:22:52 GMT, Nicob <nicob@I.hate.spammers.com> a écrit
:

Salut,

je vois actuellement passer des pishings ciblant des banques françaises.
Le passage "Dear Societe Generale/ BNP Paribas/ CIC Banque/ Banque CCF
Member" parle-t-il à certains d'entre vous ?


Nicob

Oui le voila d'ailleurs, très rus(s)é!
copie a logitel net!



Dear Societe Generale/ BNP Paribas/ CIC Banque/ Banque CCF Member,

This email was sent by your Bank server to verify your e-mail address.
You must complete this process by clicking
on the link below and entering in the small window your Societe
Generale/ BNP Paribas/ CIC Banque/ Banque CCF
online access details. This is done for your protection - because some
of our members no longer have access to
their email addresses and we must verify it. To verify your e-mail
address, click on the link below:

If you have Societe Generale account:
http://www.societegenerale.fr/o9AhCoDuGnGwXEGCEe4G2h0f0mv6ggfm58

If you have BNP Paribas account:
http://www.bnpparibas.com/EUSGaqMxxVzA6zhb2kfd73MFls508hea62j0a

If you have CIC Banque account:
http://www.cic.fr/dasHeNHKcmryunsFMKj4haa1JRktlzCX3a4vqhxz8

If you have Banque CCF account:
http://www.ccf.fr/MJyYvwED8IchS8dnY7wyQ6cgxTMIsyQg8t8j0x97sy8ss0q

On Fri May 27 2005 at 15:22, Nicob wrote:

je vois actuellement passer des pishings ciblant des banques françaises.
Le passage "Dear Societe Generale/ BNP Paribas/ CIC Banque/ Banque CCF
Member" parle-t-il à certains d'entre vous ?

Je n'ai rien vu mais je doute de l'efficacité d'un phishing en anglais
visant les banques françaises :-)

--
arboi@alussinan.org http://arboi.da.ru
NASL2 reference manual http://michel.arboi.free.fr/nasl2ref/

Nicob wrote:

Salut,

je vois actuellement passer des pishings ciblant des banques françaises.
Le passage "Dear Societe Generale/ BNP Paribas/ CIC Banque/ Banque CCF
Member" parle-t-il à certains d'entre vous ?


Nicob
Coucou, est ce que tu as pu voir si ces pishing sont sensibles a la

technique evoquee plus haut ?

--
Cordialement,
Ludo - http://www.ubik-products.com
---
"L'amour pour principe et l'ordre pour base; le progres pour but" (A.Comte)

Nicob (nicob@I.hate.spammers.com) wrote:

je vois actuellement passer des pishings ciblant des banques françaises.
Le passage "Dear Societe Generale/ BNP Paribas/ CIC Banque/ Banque CCF
Member" parle-t-il à certains d'entre vous ?

Nous avons reçu ce type de messages sur le domaine hsc.fr, entre autres.
Voici une rapide description de cette tentative de phishing et de son mode
opératoire (désolé pour certaines lignes non wrappées pour lisibilité).


=======================================================================
Résumé :

HSC (www.hsc.fr) est témoin d'une attaque de phishing (hameçonnage)
semblant actuellement cibler de nombreuses adresses e-mail de domaines
en ".fr". Cette attaque tente de convaincre des clients de plusieurs
banques françaises de fournir sur un serveur web contrôlé par un
attaquant leurs identifiants de connexion à leurs banques en ligne
respectives, probablement à dessein de détourner des fonds.

Il s'agit à la connaissance d'HSC du premier message de phishing visant
des banques françaises qui soit envoyé massivement comme un spam, sans
cibler des clients spécifiques de telle ou telle banque.

Les destinataires de ces messages ne semblent être que des adresses
email de domaines en ".fr". Nous n'avons constaté l'apparition de ces
messages que depuis le 27 mai vers 15h CEST.

Les banques concernées sont :

- Société Générale
- BNP Paribas
- CIC Banque
- CCF


Les détenteurs d'adresses e-mail en ".fr", les destinataires de ce
message ou de messages de ce type, et tout particulièrement les clients
des banques concernées doivent comprendre que ce message est un faux et
qu'il n'émane en aucun cas d'une de ces banques. Aucune banque ni autre
organisme n'enverra jamais un courrier électronique sollicitant des
informations confidentielles de ses clients. Pour se connecter à sa
banque en ligne, il est nécessaire de saisir l'adresse officielle du
site de sa banque ou d'utiliser un favori (bookmark) pour s'y connecter.


Voici un exemple du type de messages reçus dans le cadre de cette
attaque précise :

From: Banque <BookingsClestell@cic.fr>
To: tips@hsc.fr
Subject: Societe Generale / BNP Paribas / CIC Banque / Banque CCF
Date: Mon, 23 May 2005 08:53:53 +0000
X-Mailer: Microsoft Outlook Express V6.00.2900.2180
Mime-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset=iso-8859-15


Dear Societe Generale/ BNP Paribas/ CIC Banque/ Banque CCF Member,

This email was sent by your Bank server to verify your e-mail address. You must complete this process by clicking
on the link below and entering in the small window your Societe Generale/ BNP Paribas/ CIC Banque/ Banque CCF
online access details. This is done for your protection - because some of our members no longer have access to
their email addresses and we must verify it. To verify your e-mail address, click on the link below:


If you have Societe Generale account: http://www.societegenerale.fr/Zev3LiomowQrUmVgFfu9y0p6z9q63599u
If you have BNP Paribas account: http://www.bnpparibas.com/F4rqdZSKaGyKFEn8itWvdVA872lo8t28j9j
If you have CIC Banque account: http://www.cic.fr/adsDIOop65DS9nAgFUQn8DwX6tsda2MF8w4m363i0c7v7co8z1
If you have Banque CCF account: http://www.ccf.fr/1eF8PMNPIam5MgTLGhFlbFSrnF5jZzZn58xz06zm6f





Le message est en HTML : les URLs ici mentionnées pointent en fait sur
des sites différents des sites réels des banques concernées. Voir mode
opératoire plus bas.

Certaines caractéristiques des messages peuvent le faire reconnaître
comme un spam par certains logiciels anti-spams.

De plus, le fait que le message soit rédigé en anglais devrait inciter
les destinataires à se méfier.






Mode opératoire :

Le courrier électronique initial est un courrier en HTML uniquement dont
le sujet est :

Societe Generale / BNP Paribas / CIC Banque / Banque CCF

une fois décodé. Le sujet réel non décodé du message est :

=?iso-8859-1?B?U29jaWV0ZSBHZW5lcmFsZSAvIEJOUCBQYXJpYmFzIC8gQ0lDIEJhbnF1ZSAvIEJh? =?iso-8859-1?B?bnF1ZSBDQ0Y=?

Voici un exemple d'expéditeur du message (entête SMTP From:)

From: Banque <CauthenAndree@bnpparibas.com>


Les messages font varier cet expéditeur de manière aléatoire, en
changeant la partie gauche de l'adresse e-mail (ici CauthenAndree) et la
partie droite en la choisissant parmi les domaines traditionnels des
banques concernées (ici bnpparibas.com). Le nom réel dans l'adresse
e-mail (Banque) ne semble pas changer avec les messages.

Voici des exemples d'expéditeurs constatés :


CanoDamien@societegenerale.fr
BanvilleCynethia@societegenerale.fr
BalogAlvera@societegenerale.fr
ArgentoAveril@societegenerale.fr
BathrickChandal@societegenerale.fr
BourdinCynthy@societegenerale.fr
BazermanAngeline@societegenerale.fr

BossertAleece@bnpparibas.com
AndreatosAlfie@bnpparibas.com
BelandAnallese@bnpparibas.com
CauthenAndree@bnpparibas.com
AminBert@bnpparibas.com
BernardDeana@bnpparibas.com
BeatyChristin@bnpparibas.com
BossertAleece@bnpparibas.com

AmstutzAdda@cic.fr
BookingsClestell@cic.fr
BuckmanDarcy@cic.fr
CadeauArabela@cic.fr
CentisDawn@cic.fr
BeauchaineDacy@cic.fr
CharneyAlis@cic.fr

BleileBernette@ccf.fr
BarabashAli@ccf.fr
AbdoDaloris@ccf.fr
BosslerCathyleen@ccf.fr
BreslinChristie@ccf.fr
BazerghiAmargo@ccf.fr
BobbittBertine@ccf.fr



Les noms fictifs choisis pour l'expéditeur semblent être tous composés
d'un prénom et d'un nom fictifs commençant chacun par la lettre A, B, C,
ou D.

Les hôtes ayant initialement expédié les messages ont des adresses IP
très différentes, et d'origine géographique diverses : Hongrie, Brésil,
France, Corée, États-Unis, Espagne, Pologne, etc. Il s'agit probablement
de machines compromises sous le contrôle des attaquants ou de relais
SMTP ouverts.

Les URLs des banques concernées citées dans le corps en HTML du message
sont des liens vers des sites sans rapport avec les sites des banques.
Par exemple, dans un message de ce type reçu :

Le message en HTML indique l'URL http://www.ccf.fr/Jp18tWTWK2bYS0EdKHA58TKgKBP0cNrz0jj40h1cm

En fait il s'agit d'un lien pointant vers l'URL

http://www.google.ro/url?q=http://go.msn.com/HML/6/4.asp?target=http://k%37%68eq%09%74a%%2EDA.%%52u/


Cette URL utilise deux manipulations classiques des messages de phishing
afin de dissimuler l'URL finale du site de l'attaquant :

- les services de redirections libres offerts par certains sites connus
comme ceux de Google ou MSN
- la dissimulation de caractères de l'URL en les remplaçant par leur
code ASCII


Dans les messages reçus, l'alias Google utilisé peut changer, par
exemple entre :

www.google.sh
www.google.dj
www.google.uz
www.google.ro
etc.

Ici la première partie de l'URL conduit en réalité à rediriger
l'utilisateur sur le site http://k%37%68eq%09%74a%%2EDA.%%52u/

Cette URL est obscurcie par encodage des caractères et ajout de
caractères inutiles, l'URL réelle est :

http://k7heqta.da.ru

Il n'est pas garanti que cette méthode de dissimulation de l'URL finale
fonctionne avec tous les navigateurs, certains pourront juger l'URL
http://k%37%68eq%09%74a%%2EDA.%%52u/ invalide.

Suivant les messages et les banques, la dissimulation de l'URL diffère.



L'accès à l'URL http://k7heqta.da.ru qui devrait découler d'un clic sur
le lien de la banque concernée entraîne le comportement suivant :

- le navigateur est redirigé vers un site tiers (ici
http://cmeuocks.nm.ru/4/). En effet, da.ru est un site permettant de
créer des redirections libres et gratuites en .da.ru

Le site cible de la redirection diffère suivant la banque concernée.

CIC: http://cmeuocks.nm.ru/1/
SG: http://cmeuocks.nm.ru/2/
BNP: http://cmeuocks.nm.ru/3/
CCF: http://cmeuocks.nm.ru/4/


- le navigateur redirige immédiatement le navigateur dans sa fenêtre
principale vers le site officiel de la banque concernée (pour ce
message www.ccf.fr)

- une fenêtre popup de petite taille (éventuellement bloquée par les
fonctionnalités de certains navigateurs) est créée au dessus de la
fenêtre principale (qui contient maintenant le site officiel de la
banque). L'adresse de cette page de popup est :

CIC: http://cmeuocks.nm.ru/1/welcome3.html
SG: http://cmeuocks.nm.ru/2/welcome3.html
BNP: http://cmeuocks.nm.ru/3/welcome3.html
CCF: http://cmeuocks.nm.ru/4/welcome3.html


Chacune de ces pages contient un formulaire demandant à l'utilisateur de
saisir ses identifiants de connexion à sa banque en ligne. La page est
rédigée en français, sans faute d'orthographe.

Note intéressante : chaque banque possède un mécanisme particulier
permettant à un utilisateur de réaliser des virements en ligne vers des
comptes externes : chaque fenêtre de popup demande à l'utilisateur de
saisir cette élément discriminateur.

- pour la BNP, la clef RIB est demandée (cette clef est demandée à
l'utilisateur du site qui souhaite ajouter un RIB de compte
bénéficiaire possible dans son interface de banque en ligne)

- pour le CCF, les 16 chiffres de la carte CCF Keypass sont demandés (le
site officiel du CCF demande 3 de ces 16 chiffres avant d'autoriser
l'ajout d'un RIB de compte bénéficiaire possible également).

- pour la SG, le code Vocalia est demandé (ironie : la page comporte un
lien vers le site officiel de la banque indiquant en quoi consiste le
code Vocalia)

- pour le CIC, seul l'identifiant et le mot de passe sont demandés




Lorsqu'un utilisateur saisit des informations dans la fenêtre popup et
clique sur le bouton "Envoyer", le formulaire est soumis via la méthode
HTTP GET à l'adresse suivante (pour cet exemple du CCF) :

http://cmeuocks.nm.ru/4/obr2.html


Ainsi, le formulaire effectue la requête HTTP suivante (par exemple) :

http://cmeuocks.nm.ru/4/obr2.html?go=hm&bankuÌf&user=numero+de+compte&pass=code+secret&keyp=chiffres+keypass

Si le formulaire est rempli, la page obr2.html se contente de réaliser
un hit HTTP vers l'URL suivante :

http://z33229.infobox.ru/cgi-bin/result/img10.cgi

puis de rediriger l'utilisateur vers la page rezult.html qui affiche
simplement :

Thank you.
Your E-Mail Address Was
Successful Verified.


Cette URL ne correspond qu'à une simple page HTML mais sur le serveur
z33229.infobox.ru les journaux du serveur web feront apparaître pour
celui qui le contrôle l'URL d'où provient la redirection, et donc les
logins et mots de passe collectés.



--
Thomas Seyrat - Hervé Schauer Consultants

Nicob <nicob@I.hate.spammers.com> writes:

Salut,

je vois actuellement passer des pishings ciblant des banques françaises.
Le passage "Dear Societe Generale/ BNP Paribas/ CIC Banque/ Banque CCF
Member" parle-t-il à certains d'entre vous ?

J'ai vu passer ca (ce matin ou hier, je sais plus), j'ai efface, je
suis pas sur que ca t'aide beaucoup.....


A +

VANHU.

je vois actuellement passer des pishings ciblant des banques françaises.
Le passage "Dear Societe Generale/ BNP Paribas/ CIC Banque/ Banque CCF
Member" parle-t-il à certains d'entre vous ?

Reçu aujourd'hui.
Message en anglais et ciblant 4 banques dans le même mail.
Pas très adroit, ne devrait tromper personne.

J'ai voulu aller voir le site, mais les liens ne marchent pas avec Firefox !

--
Tristan.

E-mail : enlever les Z - remove all Z

Bonjour

je m'interroge sur cette attaque de phishing ?!
il s'agit d'adresse valides de BNP paribas et societe générale on dirait !
Je vois pas comment l'attaque peut réussir ?! Y a une corruption DNS
dessous ?

Nicob wrote:

Salut,

je vois actuellement passer des pishings ciblant des banques françaises.
Le passage "Dear Societe Generale/ BNP Paribas/ CIC Banque/ Banque CCF
Member" parle-t-il à certains d'entre vous ?


Nicob

Coucou, est ce que tu as pu voir si ces pishing sont sensibles a la
technique evoquee plus haut ?

Résumé :

HSC (www.hsc.fr) est témoin d'une attaque de phishing (hameçonnage)
semblant actuellement cibler de nombreuses adresses e-mail de domaines
en ".fr". Cette attaque tente de convaincre des clients de plusieurs
banques françaises de fournir sur un serveur web contrôlé par un
attaquant leurs identifiants de connexion à leurs banques en ligne
respectives, probablement à dessein de détourner des fonds.

Il s'agit à la connaissance d'HSC du premier message de phishing visant
des banques françaises qui soit envoyé massivement comme un spam, sans
cibler des clients spécifiques de telle ou telle banque.

En tout cas j'ai contacté par tel le service de "surveillance" de
logitel net et ils ne m'ont meme pas proposé de leur envoyer le mail
en question.
ca me decoit un peu car ca prouve qu'ils ne doivent pas faire grand
chose.
meme si le mail n'est pas au point je pense que ce n'est qu'un début
et tout le monde ne connait pas le phishing.

Dans le message :m3zmugbw55.fsf@alussinan.org,
Michel Arboi a écrit:

On Fri May 27 2005 at 15:22, Nicob wrote:

je vois actuellement passer des pishings ciblant des banques
françaises. Le passage "Dear Societe Generale/ BNP Paribas/ CIC
Banque/ Banque CCF Member" parle-t-il à certains d'entre vous ?

Je n'ai rien vu mais je doute de l'efficacité d'un phishing en anglais
visant les banques françaises :-)

salut,

C'est clair que c'est quand même vraiment osé comme technique, à part la
curiosité je ne vois pas comment on peut cliquer sur un lien...

En plus j'ai déjà vérifié, ma banque (CA) ne réponds pas aux émails.....
J'ai au moins souvenir de leur avoir signalé un soucis de mise en page de
leur site sous Firefox/moz et j'attends toujours le retour :-(
--
Eric
Reply-to valide, laissez tel quel !
Texte brut vivement conseillé !!

salut
Nicob <nicob@I.hate.spammers.com> a écrit dans le message
news:pan.2005.05.27.13.21.05.483885@I.hate.spammers.com

je vois actuellement passer des pishings ciblant des banques
françaises. Le passage "Dear Societe Generale/ BNP Paribas/ CIC
Banque/ Banque CCF Member" parle-t-il à certains d'entre vous ?

j'en ai recu un sur chacun de mes comptes free.fr

1) de <BarelCherise@cic.fr>
Received: from 15.231-182-adsl-pool.axelero.hu (81.182.231.15)

2) de <AmuAmarjit@cic.fr>
Received: from bsn-210-210-55.dsl.siol.net (195.210.210.55)

voilou

sinon, j'ai un zoli spam de >>> BusinessLands CHINE <<< (pour gogo qui a
de l'argent à perdre ?)

investir en Chine, ça intéresse quelqu'un ? :-D

@tchao