Publié le 14-11-2005 dans le thème Phishing - Hoax

Pays : France - Auteur : Damien Bancal

Pub : CA Anti-Spam 2007 - Bloquez les messages indésirables!

Nous vous relations, la semaine dernière, en exclusivité, une attaque phishing visant l'integralité des FAI francophones, mais aussi européens. (Lire news n'9630). Depuis ce week-end, les banques françaises ne sont pas oubliées. Cette fois-ci, le ou les pirates ont employé un autre site Internet, lui-même piraté, pour agir.

Comme d'habitude, l'attaque débute par un courrier électronique qui indique que votre login et mots de passe ont été perdus par la société citée dans le courrier. L'url donné ressemble à celui ci : www.nomdelasociété/WSv9p2Me0iNqjaV7F8yA0z4LpKejdU6L6m9KP1xI4SpdKfOu.

Cet url est un leurre qui cache en fait cette adresse ci :
http://www.google.cl/url?q=3Dhttp://%53%09t%61Nda%72%74%5a%61.Co=%09M/
cgi-%62%09%69n/p%6fc%68/red%69r.cg%69?.
Vous avez d'ailleurs remarqué le début de l'adresse Internet. Le ou les pirates utilisent un bug de redirection du moteur de recherche Google. Pour le moment, nous avons découvert que Google Chili, Congo ou encore Rwanda étaient utilisés dans cette attaque.

Le codage employé par le ou les pirates, ici unicode, renvoie sur cette adresse : Standartza.com/cgi-bin/poh/. Comme pour le cas des FAI (Brève 9630), un CGI (redir.cgi) terminait cette petite promenade. Cette derniére redirection, la troisiéme, en 1 seconde, finissait sur une page hébergée chez Yahoo!. Une page pirate qui avait pour mission d'intercepter les données rentrées par les victimes potentielles de ce phishing.

La page Standartza.com a été classifiée comme "spammeuse" (standartza.com -> bl=2005-11-10) et du coup blacklistée et fermée. Le pirate a tout simplement pénétré le serveur pour l'utiliser comme rebond. Le ou les pirates utilisent un bug chez Google Chili (Google.cl) qui lui permet de rediriger l'url de son mel vers son piége. Malin, le pirate utilise ce stratagéme car les outils antispams ne bloquent pas les courriers et les urls en provenance de Google. Le courrier du ou des pirates usurpent ainsi l'identité du moteur de recherche afin de cacher son attaque.

Exemple avec ZATAZ : http://www.google.cl/url?q=http://www.zataz.com. Il suffit au pirate de placer une seconde redirection, la page piége, aprés l'url de Google.

Pour le moment, difficile de tracer plus directement le pirate. La page de rebond, standartza, a été fermée. La méthode ressemble, en tout cas, à si méprendre, à celle employée par Leo Kuvayev, aka BadCow. Un pirate russe, passé maître dans la création de virus spammeurs. Ses microbes ont pour mission de diffuser des publicités pour de fausses pharmacies, des sites pornographiques, des ventes de cd OEM pirates (soft4college ; easysoft4sale ; softsupreme ; splashoem ; thebestoem ; topsoftshop ; oem4dummies ; real deal soft ; oem soft king ; soft busters ; ...), etc...

L'ensemble des sites de ce spammeur sont hébergés en Chine, chez CNC Group Hainan province network.

# En relation avec ce contenu

Client Wanadoo, attention danger

Direction case prison

La CNIL visitée sans même le savoir

Nouvelle attaque Phishing

Ou est sex.com ? Dans ton c...

# Liens connexes

Breve 9630

Le Top 10 des menaces de juillet 2008

Les analystes BitDefender ont publié aujourd’hui le Top 10 des e-menaces les plus répandues sur le mois de juillet.

Lesarnaques.com nouvelle version

Le site, lesarnaques.com change. Nouvelles rubriques et des des aides pour les démarches des Internautes.

GNU/Linux magazine HS 38: Electronique, domotique et embarqué avec Linux

GNU/Linux et les logiciels libres ne sont pas qu'une affaire de serveurs et d'environnements de bureau. La preuve avec le nouveau HS de GNU/Linux magazine.

Après CNN, MSNBC nouvelle cible Stormique !

La semaine dernière, des pirates informatiques s'étaient amusés à diffuser un virus via les couleurs de CNN. Depuis peu, voici venir MSNBC.

Chat spécial avec SII

Le prochain chat Lesjeudis.com aura lieu le 4 septembre avec SII. Cette information pourrait intéresser votre audience.

World Cyber Games 2008

Du 26 au 28 septembre à Paris, Parc des expositions de la Porte de Versailles, Pavillon 6.

100 photos de Reza pour la liberté de la presse

100 photos de Reza pour la liberté de la presse. Le nouvel album de Reporters Sans Frontiére sera disponible dès le jeudi 25 septembre 2008.

Outil de chiffrement open source pour Google

KeyCzar, le projet open source de Google à la sauce cryptage et chiffrement des données.

Tentative de vol dans les universités françaises

Depuis quelques semaines, des pirates s'interressent aux accès appartenant aux utilisateurs des universités Françaises.

Alerte phishing: les clients de Moneybookers visés

Le site Moneybookers est visé par une attaque de type hameçonnage. Un pirate tente de mettre la main sur des comptes permettant des paiements en ligne sécurisés.

Nouvauté hameçonnage

Exclu - Un site Internet propose de fausses pages dédiées à l'instalation d'attaque de type phishing. Un piége qui cache un autre autre traquenard.

Alice ? Ouuouuuuu y a un phisheur

Plus de 3800 clients du Fournisseur d'Accès à Internet Alice victime d'une tentative d'hameçonnage.

Attaque phishing à l'encontre de Skyblog

Une attaque informatique de type hameçonnage vise les utilisateurs du service de blog de la radio FM Skyrock.

La croissance... chez les pirates

Le ralentissement économique, une poule aux oeufs d'or pour les spammeurs ! Ou quand le malheur des uns fait le bonheur des autres...

Phishing a partir de l'encyclopédie Wikipedia

Un pirate tente de piéger des joueurs de Counter-Strike en rajoutant un faux site à partir de l'encyclopédie Wikipedia.

Alerte sécurité: phishing Paypal via Lycos

Hameçonnage: Un pirate exploite un site hébergé chez Lycos France pour attirer les clients francophones du service bancaire Internet Paypal.

Réagissez à ce contenu