Publié le 26-07-2006 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Tous les logiciels firewall gratuits disponibles sur Internet

Depuis quelques semaines, une attaque d'envergure est en train de pourrir forums et blogs. Le principe est simple, nous vous en parlions déjà l'année dernière, mais depuis quelques semaines l'intensité des "spams" a augmenté. Découverte d'une p'tite bête, qui monte, qui monte, qui monte !

Tout débute par un peu d'imagination. Le pirate a mis en place un script, un petit programme automatique, qui permet de générer des centaines de faux messages sur un forum, un blog, ... Les missives sont toutes sympathiques "Many interesting information on your site - keep up good work; Nice site... Cool guestbook...; The site's very professional! Keep up the good work! Oh yes, one extra comment - maybe you could add more pictures too! So, good luck to your team!; etc..." Mission de ces messages, vous inciter à cliquer sur le lien qui est fourni. Comme vous l'aurez très certainement compris, un piège qui renvoie sur des Casinos, des pharmacies on line, ... Intéressantes actions. Les sites, hébergeant les casinos, pharmacies ont été, eux-mêmes piratés (voir capture ci-dessous, NDR).

Par exemple, l'un des liens, renvoi sur le site d'une mamie américaine. Le pirate, originaire des pays de l'Est à la vue de certaines annotations dans l'un des codes sources découvert, a pénétré le serveur (http://suzanneschlosberg.com) et ils y a installé une page de redirection (gmahoneyk/etc/free-casino). Cette redirection voyage vers le site Monaco casinos. Une unique page herbégée en Argentine. Le pirate a enregistré une dizaine de dossiers dans ce site, qu'il a préalablement piraté, tels que /casino/, /Poker/, /roulette/, etc.

Même son de cloche pour les pharmacies onlines. D'abord de faux messages sur les blogs, forums, ... Un site piraté, par exemple tennisads.com et toujours la création de sous dossiers (/didrex/, /xenical/, /levitra/, /vitamin/, ...) renvoyant sur un portail dédié aux médicaments. Portail qui lui même renvoie sur divers boutiques médica... menteuses.

Le but du pirate ?
Simple et précis à la fois. Générer du trafic pour augmenter sa cagnotte publicitaire. Comment ? Le pirate s'est d'abord inscrit comme partenaire via des casinos on-line (888, ...) Il a ensuite cacher ses partenariats financiers via de faux sites qu'il a installé un peu partout sur des serveurs préalablement piratés. Les liens de ces sites pirates renvoient tous sur la même adresse 64.111.196.117. En tapant cette ip dans un navigateur, un gros "Not Found", une erreur, apparaît. Malin, le pirate tente de faire croire que l'adresse n'est plus valide. En tapant l'intégralité de l'url, que le pirate a codé, nous nous voyons redirigé sur une autre url, peakc.com (64.111.196.114 - Url enregistré par Stefan Meyer, originaire de Salzburg. Site très certainement lui même piraté), qui fait lui-même une nouvelle redirection, la quatriéme et définitive, cette fois vers le partenaire publicitaire. L’ensemble des sites piratés, qui permettent les redirections, sont hébergés chez ISPrime Inc, une société basée à New York. D'ici là à dire qu'une faille touche cet ISP, il n'y a qu'un pas.

Même méthode pour les pharmacies. Faux sites, urls de redirection, qui aboutissent tous vers peakc.com (64.111.196.114). Dans ce cas, le pirate renvoie sur des e-pharmacies telles que atcostpharma, etc ... A noter que plusieurs e-pharmacies, qui plus est ont des allures plus que douteuses, ont toutes été enregistrées… en Ukraine, par une mystérieuse, et très certainement fausse, Anna Volkova. Son mel, par contre, fonctionne toujours. Il est hébergé chez 4Enet.by, une société basée en Biolorussie.

Difficile à remonter le pirate ? Oui et non. Il suffirait à la justice de faire une demande aux partenaires. Les derniers liens de redirection contiennent tous le code partenaire du pirate. Sans ça, il ne toucherait aucun argent. Et en grattant un peu plus, il trouverait même l'ip du pirate sur son blog hébergé chez wordpress.com. Dix huit "faux" sites sont hebergés sur le serveur employé par le pirate. On y trouve, par exemple, casino2007, forextradingbank ou encore un sympathique squattage de la marque Yahoo via yahoo-search.biz.

Bref, comme vous avez pu le voir, l'argent doit couler à flot pour mettre en place une telle arnaque. Petits conseils, ne cliquez jamais sur les url données par ce genre de message. Ne répondez encore moins aux courriers qui vous parviennent. Comme l'écrivait Jean de la Fontaine, Tout flatteur vit au dépend de celui qui l'écoute.

# Liens connexes

En savoir plus sur les e-pharmacie

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Faille sur le site Wikileaks

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

La Ville de Chambéry corrige une fuite de données

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Prudence aux liens vers Darty et ELLE

Des vulnérabilités ont été découvertes sur les sites RueDuCommerce, Darty et du journal ELLE. Prudence aux liens exterieurs.

Quand des Anonymous tapent sur des Anonymous, ça mousse

INFO ZATAZ - Des Anonymous reprochent à d´autres Anonymous d'avoir piraté des sites appartenant à la mouvance d'extrême droite. Pour les punir, leurs identités sont diffusées sur la toile.

Les informations confidentielles de 541 policiers Français diffusées par les Anonymous

Les Anonymous diffusent sur Internet l´identités et des informations confidentielles de plusieurs centaines de policiers Français.

Faille pour Myspace

Info ZATAZ - Une vulnérabilité de type Cross-Site Scripting vise le portail communautaire MySpace.

Multiples failles pour le site économique Forbes

INFO ZATAZ - Plusieurs vulnérabilités touchent le site économique américain Forbes. Les lecteurs peuvent être touchés directement.

La ville de Béthune corrige une fuite de données

INFO ZATAZ - Une méga fuite de données permettait d´accéder à une imposante base de données appartenant à la Mairie de Béthune.

Réagissez à ce contenu