Phishing à 1 euro

[Parisien_entraide]

Du phishing SFR j'en reçois des tonnes (enfin sur ma partie "indésirables/mails bloqués") mais celui ci tente une approche surement connue mais que je n'avais pas vue jusqu'à présent

C'est envoyé par [email protected] et on doit répondre à [email protected] <[email protected]>
(l'origine émane d'un serveur en UK)

SFR_Phisinbg.jpg

Toute l'image (texte assez bien rédigé et pour une fois sans fautes) en fait peut être cliquée
Donc un clic de souris par inadvertance et on se retrouve sur

https://www.i-stocks.net/?https://links ... [email protected]



Là, par contre, si les gens font attention les champs pré-remplies ne correspondent pas à sa propre carte et sont répétés

SFR paiement.jpg

Dont le lien est https://www.emstore.io/_/?payline=step1 ... 5576095253


Dans la première image

l'identifiant abonné ne correspond pas (mais les gens ne le connaissent pas)
Si on est abonné on ne paye pas par carte de crédit
Jean pierre GALERA a quitté SFR fin novembre

Dans le deuxième lien il est impossible de changer le numéro de carte indiquée, par contre, tous les autres champs peuvent être remplis ou modifiés
La somme à verser est de... 1 euro
Donc même si arnaqué les gens ne portent pas plainte

Le source est en FR, et le bouton "valider" n'affiche rien en lien par contre dans le code on trouve un

https://payment-web.sips-atos.com/fr/payment/card

Ainsi que

return "Fnac";
return "Surcouf";
return "Printemps";
return "Kangourou";
return "Cyrillus";
return "Visa";
return "Eurocard_MasterCard";
return "Amex";
return "Diners";
return "JCB";
return "Discover";
return "EnRoute";
return "aurore";
return "Cofinoga";
return "Cdgp";

Visiblement si le numéro de carte ne peut être modifié seul ce numéro peut les intéresser et même si les gens remplissent les autres champs ils ne sont pas pris en compte
Par contre ce qui est curieux c'est le "return" dans le code
Il faudrait cliquer pour être savoir ce qui se passe après, mais si ils ont utilisé un générateur de cartes X, et que cela fonctionne le risque étant de leur donner 1 euro

[Parisien_entraide]

Une chose à ne pas négliger ;

Eviter de lire vos messages en web mail, c'est à dire directement sur le site internet de votre fournisseur d'accès internet, ou société de messagerie
Certaines permettent de désactiver le téléchargement automatique des images dans les messages que vous recevez
Il vaut mieux se servir d'un programme de messagerie (le plus connu et fiable étant le programme gratuit thunderbird)
https://www.thunderbird.net/fr/
https://support.mozilla.org/fr/products/thunderbird
https://www.eila.univ-paris-diderot.fr/ ... d/securite

En plus ce programme vous indiquera si le mail reçu est frauduleux

thunderibird fraud.jpg

La raison ?

Au moment ou vous ouvrez le message dans votre boite de réception, l'émetteur du message recevra un accusé de reception lui indiquant que vous avez ouvert le message (ce qu'il traduit comme le fait que vous êtes réceptif à ce qu'il envoie), mais également d'autres indications comme l'heure à laquelle vous l'avez lu, position géographique etc
Cela peut être pire si JavaScript est utilisé, car encore plus d’informations peuvent être collectées. Elles incluent la résolution d’écran, l’usage des plug-ins, la compatibilité du navigateur à certaines technologies, Le client utilisé, comme par exemple un programme email ou un navigateur, si il s'agit d'un ordinateur, d'un smartphone, et évidemment l'adresse IP (et pas que)

Comment ?

C 'est une vielle méthode appelée Pixel Espion (ou Pixel Tracking)

2020-02-01_104905.jpg

Le principe est simple, car elle s'appuie sur l'insertion du lien vers une image ou un pixel invisible stocké sur un serveur distant directement dans le corps du message
Lorsque vous ouvrez le message, l'application de messagerie va télécharger les images sur un serveur distant où elles sont stockées pour les afficher dans le corps du message

L’émetteur du message reçoit de son côté une notification lui permettant de savoir quand le message a été ouvert par le destinataire
Les informations recueillies, seront utilisées par la suite pour mieux cibler les futurs envois et alimenter des statistiques.
Ca c'est dans le meilleur des mondes :-)
Maintenant il faut transposer cela à du phishing

Ce ne sera pas bloqué par les anti virus (cela n'est pas un virus) ni considéré comme un message malveillant par les autres protections (ce n'est pas le but car celui ci a pour finalité de vous soutirer de l'argent)
La seule possibilité, c'est que vu l'émetteur et le flux de messages envoyés à divers destinataire au sein du même FAI par ex, , cela puisse être considéré en amont comme un "message indésirable" ou du spam

Il est heureusement possible de s’en prémunir en désactivant le téléchargement automatique des images dans les messages que vous recevez et via des modules complémentaires si vous passez par le navigateur internet

A noter que d'après une étude de Kaspersky, seulement 5% des internautes sont capables au premier coup d'oeil de déterminer que le mail reçu est du phishing...

Pour en savoir plus :

https://www.malekal.com/pistage-internautes-mails/
https://www.malekal.com/le-phishing/
https://www.malekal.com/le-spam/

[Malekal_morte]

Je profite du sujet sur le phishing pour signaler un sur le remboursement des Pass Navigo.
=> Phishing sur le dédommagement Navigo
Rien de vraiment extraordinaire du point de vue technique.

[Parisien_entraide]

D'un point de vue technique non, mais ce qui est déplorable c'est que le site soit toujours là 24H après, du moins pas bloqué/non visible par ceux qui se targuent de cibler ce genre de sites comme Google etc alors que cela a été signalé par plusieurs personnes
(une recheche sur google l'amène sur un plateau en premier réponse)

Du reste la cible citée dans twitter, est un bon exemple, qui met bien en avant que quel que soit son niveau d'étude ( Diplomé de polytechnique, Ingénieur) tout le monde peut se faire avoir : il a succombé un vendredi soir, après une semaine chargée. Donc avec la fatigue etc, on est moins attentif, et le clic de souris est moins réfléchi

Pour finir sur une note positive qui re-twittait sur #navigo et #ratp :

https://twitter.com/DarlaneFi (cousine problable de Nabila ou faisant partie du futur casting des Marseillais :-) (avec plus de 6 000 abonnés quand même) Chaque post est.. comment dire... heu...? :-)

[Malekal_morte]

Il est encore en ligne
Après je pense que ça sert à rien de le faire tomber car le mec peut le remonter ailleurs.
Par contre, je l'ai signalé à Google et Google SafeBrowsing ne le bloque toujours pas...

[Parisien_entraide]

Comme quoi les trucs de protection de navigation souvent proposés en modules complémentaires ne font qu'encombrer et ne servent à rien :-)
En plus le pire c'est que Google conseille aux gens de passer par leurs DNS pour se protéger

En tous les cas si je passe par https://monremboursementnavigo.com/ pas de soucis c'est effectivement toujours en place avec la même IP, mais si je passe par le lien twiiter https://t.co/DdakXBHlo2 cela m'affiche un

2020-02-09_212908.jpg

J'ai testé avec slimjet avec juste le ublock Origin ca passe
J'ai testé avec mon firefox et le profil de tests, blindés de modules dont celui de kaspersky, ca passe aussi.

Le signalement...une fumisterie :-)

[Parisien_entraide]

Au 22 février... C'est ENFIN bloqué :-)

Il faut dire que sur le plan technique il n'y avait RIEN d'anormal sur la page principale et c'était là tout le problème

2020-02-22_124337.jpg

[Malekal_morte]

Les modules de protection sont assez mauvais pour bloquer les arnaques de manière générale.
Déjà vu comment ils galèrent avec les tech scam pourtant que les antivirus ont l'air de s'y intéresser.
Alors une page comme ça qui vise un pays en particulier, ça passe sous les radars.

Ce qui est assez hallucinant, c'est que même en la signalant, il faut 1000 ans pour qu'elle soit mis en liste noire.