Phishing - adresse IP

[jardinier_ozone]

Bonjour,

Je viens de reçevoir 1 courrier frauduleux imitant celui de la Caf.
En affichant le code source du message, peut-on me dire d'où provient-il ?

- Ou alors est-il basé sur ou 1 hébergeur ou 1 autre service ?
- Et je voudrais aussi svp que l'on me guide à comprendre ........
- Si mon adresse IP est dans le rapport, me le dire pour que je l'a masque.

Merci.

Je l'ai transmis aux services compétents pour mails frauduleux de la Caf ........

[Malekal_morte]

Salut,

oui à partir du header, tu peux avoir l'IP à partir duquel le mail a été envoyé.

[jardinier_ozone]

"Header" = en-tête, non ?

-Tu peux me dire d'où provient cette lettre stp ?
- Son adresse IP est : 177.87.155.43 ?

Merci

[ѠOOT]

Bonjour,

Pour signaler les liens de sites piégés par des hameçonnages ( ne signaler que les phishing, merci ). L'adresse 177.87.155.43 est située chez Noroestecom Telecomunicacoes Ltda. Le petit rigolo utilise un kit de phishing depuis un serveur brésilien, surement un simple zombie. L'adresse e-mail utilisée par l'attaquant pour récupérer les informations dérobées aux victimes est "5.jad@voila.fr".

[jardinier_ozone]

Merci beaucoup.


Ouais, donc pas 1 débutant !!!!
Donc difficile de remonter jusqu'à l'auteur pour les services compétents ?


Je pensais bien que ce phishing n'était pas français, car des erreurs de syntaxe.
comme :

[ѠOOT]

Bonjour,

L'attitude a adopter est celle de signaler les tentatives d'hameçonnage.

Ci-dessous, deux sites spécialisés et qualifiés en la matière:
→ Phishing-Initiative ( National )
→ PhishTank ( International )

Ces services en ligne collectent et partagent ces signalements via différents réseaux.
Les volumes y seront traités, à plusieurs niveaux, par plusieurs acteurs,...
Les auteurs peuvent-être identifiés mais très peu seront inquiétés.

Les principaux objectifs sont d'identifier la nature des attaques,... d'avoir des vues temps réels des situations, de tenir compte des évolutions, d'éventuellement recouper avec des incidents antérieurs ou en cours,... après quoi, sur la base de statistiques s'articuleront différents business, comme celui des solutions de sécurité appuyés par de superbes infographies et de magnifiques rapports étoffés de graphiques en couleurs,... en parallèle s'organiseront des évènements dans de luxueux hôtels afin bien sûr discuter de ces problématiques ; petits fours dans une main et verre de champagne dans l'autre.

Dans votre cas, il s'agit d'un débutant, il utilise un kit de phishing réalisé par un autre, il n'a même pas remarqué la présence d'une porte cachée dans le code... c'est dire son niveau. De toute façon, il est tellement négligent qu'il a laissé trainer le kit sur le serveur. De plus, il n'a pas lu le manuel sur comment l'installer donc il n'y a pas de droits sur la configuration du kit ce qui permet de trouver ses identifiants d'administration du kit. Son mot de passe est "wxc=123", wow.. très difficile. On apprends aussi qu'il utilise un clavier "AZERTY" à cause da la suite "wxc". L'adresse e-mail utilisée chez voila.fr est probablement détournée à l'insu du propriétaire légitime. Imaginons qu'il utilise le webmail de voila.fr et que je créer un e-mail spécialement conçu pour le piéger, par exemple en simulant une victime à son propre kit d'hameçonnage, je suis à peu près sûr d'obtenir d'autres infos. Par exemple qu'il possède un navigateur ... et que la langue est ... etc... Nous savons qu'il a installé son kit au petit matin du mercredi 8 janvier 2014, que c'est encore tout frais et qu'il y a de grandes chances que les preuves informatiques légales soient intactes à plusieurs endroits stratégiques. Maintenant, il faut bien comprendre que chaque jour, il y a des millions de pourriels avec des milliers d'hameçonnages et des ... donc ne sont traités que ceux qui nécessitent de l'être.

edit: Le serveur CONSTRUTORASSM.COM.BR (177.87.155.43) utilisé comme plateforme d'envois d'hameçonnages enregistré par la société brésilienne installée à Bauru (São Paulo) : "SSM CONSTRUCOES E INSTALACOES LTDA" a bel et bien été compromis. L'intrus, qu'il faut distinguer de l'émetteur des e-mails d'hameçonnages, a exploité une faille de sécurité présente sur ce site : il a combiné cette méthode avec une technique bien connue qui date d'au moins 10 ans. Une fois la prise de contrôle terminée, l'intrus s'est alors connecté au panneau d'administration du shell sur le port 2082/TCP. Il devient ainsi très simple à un individu d'envoyer et déployer un kit sans encombre... Ce site propose des services depuis BRUNOBARRETO.COM appartenant à Mr. BRUNO BARRETO GONCALVES alors finalement s'il faut notifier quelqu'un chez eux, ça serait plutôt lui, via son MSN.

Voilà, j'espère que ça réponds à tes questions.

edit: Au fait, rien à voir avec le sujet, mais... tu utilises quel logiciel pour tes retouches d'images ? Parce que j'ai remarqué que tes images casimages postées sur le forum contiennent ton prénom, c'est normal ? Je te le signal au cas où tu l'ignorerais. Si tu as des questions sur des termes que tu n'as pas compris, n'hésite pas à demander.

[jardinier_ozone]

Excellent pour le cours !!!
Merci beaucoup !!!!!
Je pense que vous devez être du métier : informaticien, analyste .........



Ah si !
J'aimerais bien apprendre à comprendre le texte codé de "afficher la source" d'1 mail comme celui-ci.
Il existe 1 site qui explique ce genre de truc ?

L'attitude a adopter est celle de signaler les tentatives d'hameçonnage.

Ci-dessous, deux sites spécialisés et qualifiés en la matière:
→ Phishing-Initiative ( National )
→ PhishTank ( International )

Oui, d'accord.
Mais les 2 liens sont pour rentrer 1 URL, pour 1 site : http .......
Moi, c'est 1 mail ; comment je fais ?

edit: Au fait, rien à voir avec le sujet, mais... tu utilises quel logiciel pour tes retouches d'images ? Parce que j'ai remarqué que tes images casimages postées sur le forum contiennent ton prénom, c'est normal ? Je te le signal au cas où tu l'ignorerais. Si tu as des questions sur des termes que tu n'as pas compris, n'hésite pas à demander.

Ah bon ?
Mince !!!!
C'est mon adresse mail, c'est ça ?
Mais c'est sur le site de casimage, pas sur Photofiltre.

J'utilise "Photofiltre" pour les retouches d'images.

Pour "casimage", je met mon identifiant et mot de passe à chaque fois : car je me dis que si je ne le fais pas, les captures que je fais sur ce forum, ne seront plus visibles dans quelques mois pour d'éventuelles personnes désirant se faire aider ........
C'est pour cela que mon email apparaît ?

[ѠOOT]

Bonjour,

Pour savoir lire les "sources", il faut comprendre comment ça fonctionne. En informatique, il existe des sortes de bibles : les RFC. Ici, il s'agit de compulser celle du protocole SMTP. Pour les MIME situés dans cette partie de l'e-mail, il s'agit de la RFC2387. C'est un peu barbare au début mais sachez que c'est ici que vous trouverez à coups sûr les principaux détails techniques à toutes vos interrogations. Ce qu'il faut en retenir finalement, c'est que les webmails ou les logiciels nommés "clients de messageries" interprètent ces informations mais n'en affichent qu'une petite partie afin justement d'avoir quelque chose de lisible.

Alors comment ça fonctionne ? Depuis le serveur compromis, l'hammeçonneur prépare son attaque via l'interface de son kit. Il va déterminer le titre de l'e-mail, la liste des destinataires (là, on pourrait s'interroger sur comment il a eu votre e-mail...), le message que vous allez recevoir,... Dans le cas présent, il a opté pour l'utilisation d'une fausse page de la CAF au format HTML envoyée en pièce jointe. Alors effectivement, ça rejoins votre remarque, sous cette forme c'est plus compliqué à signaler qu'une simple URL. Néanmoins, la page HTML envoyée doit contenir des champs et un formulaire. Envoyez-moi par message privé une copie de l'e-mail en utilisant la balise

Code : Tout sélectionner

 du [url=http://bohwaz.net/p/BBcode]BBCODE[/url] et je vous dirai précisément où est située l'URL d'envoi des informations.

Pour les captures, ce n'est pas l'e-mail mais le prénom qui apparait. J'ai téléchargé le logiciel de retouches d'images [url=http://www.photofiltre-studio.com/evols.htm]Photofiltre Studio[/url]. Vérifiez vous même la présence des métadonnées : téléchargez une [url=http://nsa34.casimages.com/img/2014/01/08/140108104005531798.jpg]image[/url] que vous avez envoyé. Ouvrez l'image avec Photofiltre, dans le menu "Fichier", sélectionnez "Propriétés de l'image" puis cliquez sur l'onglet "EXIF". J'ai tenté de reproduire l'insertion de la même étiquette [i](tag)[/i] que vous : "XP Author". En utilisant plusieurs images "témoins" et le logiciel, ça n'a pas fonctionné. Quant au service en ligne de casimages, il ne modifie pas l'image originale, donc ça ne vient pas non plus de chez eux.

[jardinier_ozone]

Ok merci.
MP envoyé .........



Sinon, je vous ai dit 1 bêtise : je fais ma capture d'images avec "outil capture" de Windows vista/7, ensuite, je retouche l'image s'il le faut avec "photofiltre" qui se trouve sur mon bureau pour rajouter du texte par exemple et enfin, l'hébergeur est "casimage".

Je pense que si mon prénom apparaît, c'est dû à "Outil capture", non ?


http://pjjoint.malekal.com/files.php?id ... y14k6h15t5

http://pjjoint.malekal.com/files.php?id ... 10t7e5z9l8

[ѠOOT]

Bonjour,

L'application "Outil Capture" de Windows Vista/7 ajoute systématiquement des métadonnées à toutes vos captures d'écrans notamment l'étiquette "XP Author" qui contient le nom de l'utilisateur Windows en cours de session. En octobre dernier, j'avais formulé la remarque suivante sur ce forum :

Je profite de ce sujet axé sur la "vie privée" pour souligner d'autres aspects méconnus. Il est tout aussi important de prendre conscience que dès lors que vous produisez des contenus : vidéos, audios, photos, images, documents, ... vos appareils, vos logiciels ou encore des tiers peuvent altérer, à votre insu, des métadonnées qui peuvent s'avérer intrusives. En partageant vos contenus via des services en ligne ( hébergeur d'images, plateformes vidéos, ... ) vous renoncez d'une part à une partie de vos droits mais pire... vous en autorisez explicitement l'exploitation à des fins commerciales. Ces informations aux allures anodines peuvent dans certains cas devenir nuisibles - particulièrement aux entreprises TPE/PME."

Gros sujet brulant qui ponctue nos actualités ; j'y reviendrai dans une autre section de ce forum...

La pièce jointe au format HTML pèse 134 641 octets. Le contenu est encodé par iWEBTOOL. ( pour évader les détections ? ) Lorsque la victime termine de remplir les champs de saisie et qu'elle valide le formulaire, les informations sont envoyées sur le serveur PRIMEONLINEBINGO.COM (192.254.68.6) également contrôlé par l'attaquant via une backdoor nommée "jadox.php". La page "send-mail.php" va dérober les informations et rediriger la victime vers son espace personnel sur le portail officiel de la CAF.



Cet individu pratique aussi du phishing sur l'opérateur FREE. L'opération est transparente aux yeux de la victime, elle a l'illusion d'avoir fait la bonne démarche. Au Wed, 08 Jan 2014 08:12:50 +0000 , date de l'émission de l'e-mail d'hameçonnage, l'adresse IP est celle d'un particulier : 41.142.225.231 chez Maroc Telecom.