Publié le 26-07-2006 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Pub : Découvrez les Labs ZATAZ

Depuis quelques semaines, une attaque d'envergure est en train de pourrir forums et blogs. Le principe est simple, nous vous en parlions déjà l'année dernière, mais depuis quelques semaines l'intensité des "spams" a augmenté. Découverte d'une p'tite bête, qui monte, qui monte, qui monte !

Tout débute par un peu d'imagination. Le pirate a mis en place un script, un petit programme automatique, qui permet de générer des centaines de faux messages sur un forum, un blog, ... Les missives sont toutes sympathiques "Many interesting information on your site - keep up good work; Nice site... Cool guestbook...; The site's very professional! Keep up the good work! Oh yes, one extra comment - maybe you could add more pictures too! So, good luck to your team!; etc..." Mission de ces messages, vous inciter à cliquer sur le lien qui est fourni. Comme vous l'aurez très certainement compris, un piège qui renvoie sur des Casinos, des pharmacies on line, ... Intéressantes actions. Les sites, hébergeant les casinos, pharmacies ont été, eux-mêmes piratés (voir capture ci-dessous, NDR).

Par exemple, l'un des liens, renvoi sur le site d'une mamie américaine. Le pirate, originaire des pays de l'Est à la vue de certaines annotations dans l'un des codes sources découvert, a pénétré le serveur (http://suzanneschlosberg.com) et ils y a installé une page de redirection (gmahoneyk/etc/free-casino). Cette redirection voyage vers le site Monaco casinos. Une unique page herbégée en Argentine. Le pirate a enregistré une dizaine de dossiers dans ce site, qu'il a préalablement piraté, tels que /casino/, /Poker/, /roulette/, etc.

Même son de cloche pour les pharmacies onlines. D'abord de faux messages sur les blogs, forums, ... Un site piraté, par exemple tennisads.com et toujours la création de sous dossiers (/didrex/, /xenical/, /levitra/, /vitamin/, ...) renvoyant sur un portail dédié aux médicaments. Portail qui lui même renvoie sur divers boutiques médica... menteuses.

Le but du pirate ?
Simple et précis à la fois. Générer du trafic pour augmenter sa cagnotte publicitaire. Comment ? Le pirate s'est d'abord inscrit comme partenaire via des casinos on-line (888, ...) Il a ensuite cacher ses partenariats financiers via de faux sites qu'il a installé un peu partout sur des serveurs préalablement piratés. Les liens de ces sites pirates renvoient tous sur la même adresse 64.111.196.117. En tapant cette ip dans un navigateur, un gros "Not Found", une erreur, apparaît. Malin, le pirate tente de faire croire que l'adresse n'est plus valide. En tapant l'intégralité de l'url, que le pirate a codé, nous nous voyons redirigé sur une autre url, peakc.com (64.111.196.114 - Url enregistré par Stefan Meyer, originaire de Salzburg. Site très certainement lui même piraté), qui fait lui-même une nouvelle redirection, la quatriéme et définitive, cette fois vers le partenaire publicitaire. L’ensemble des sites piratés, qui permettent les redirections, sont hébergés chez ISPrime Inc, une société basée à New York. D'ici là à dire qu'une faille touche cet ISP, il n'y a qu'un pas.

Même méthode pour les pharmacies. Faux sites, urls de redirection, qui aboutissent tous vers peakc.com (64.111.196.114). Dans ce cas, le pirate renvoie sur des e-pharmacies telles que atcostpharma, etc ... A noter que plusieurs e-pharmacies, qui plus est ont des allures plus que douteuses, ont toutes été enregistrées… en Ukraine, par une mystérieuse, et très certainement fausse, Anna Volkova. Son mel, par contre, fonctionne toujours. Il est hébergé chez 4Enet.by, une société basée en Biolorussie.

Difficile à remonter le pirate ? Oui et non. Il suffirait à la justice de faire une demande aux partenaires. Les derniers liens de redirection contiennent tous le code partenaire du pirate. Sans ça, il ne toucherait aucun argent. Et en grattant un peu plus, il trouverait même l'ip du pirate sur son blog hébergé chez wordpress.com. Dix huit "faux" sites sont hebergés sur le serveur employé par le pirate. On y trouve, par exemple, casino2007, forextradingbank ou encore un sympathique squattage de la marque Yahoo via yahoo-search.biz.

Bref, comme vous avez pu le voir, l'argent doit couler à flot pour mettre en place une telle arnaque. Petits conseils, ne cliquez jamais sur les url données par ce genre de message. Ne répondez encore moins aux courriers qui vous parviennent. Comme l'écrivait Jean de la Fontaine, Tout flatteur vit au dépend de celui qui l'écoute.

# Liens connexes

En savoir plus sur les e-pharmacie

Un Anonymous Français déclare la guerre aux hébergeurs

25-05-2012 à 13:05 - 1 commentaire(s)

Info zataz - Des dizaines d'hébergeurs sous le contrôle d'un Anonymous Français. Il déclare la guerre aux serveurs privés Dofus.

Votre compte Facebook a-t-il été infiltré ?

24-05-2012 à 12:09 - 0 commentaire(s)

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Fuite de données pour iPhone

22-05-2012 à 00:43 - 0 commentaire(s)

Info zataz - Un iPhone jailbreaké couplé avec Tweak Bulletin permet de passer outre le mot de passe d´ouverture du téléphone.

Téléphone portable ZTE piégé

22-05-2012 à 00:38 - 0 commentaire(s)

Le fabricant chinois de téléphone portable ZTE a confirmé la présence d'une porte dérobée dans l'un de ses smartphones sous Android.

Le Bureau de Justice US piraté

22-05-2012 à 00:31 - 0 commentaire(s)

Info zataz - Des milliers de données sensibles volées par des Anonymous au Bureau of Justice US.

Anonymous contre pédophiles

22-05-2012 à 00:09 - 0 commentaire(s)

Info ZATAZ : Plusieurs dizaines d´informations concernant des pédophiles présumés venant du réseau Darknet diffusées par des Anonymous.

Vulnérabilité sur les site de FHM, ELLE et Forbes

20-05-2012 à 20:38 - 0 commentaire(s)

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Anonymous menacent le gouvernement québécois

20-05-2012 à 20:28 - 0 commentaire(s)

Info @zataz - Le gouvernement Québécois veut faire interdire des manifestations étudiantes. Les Anonymous répondent en lançant des attaques informatiques.

Votre compte Facebook a-t-il été infiltré ?

Info zataz - Une vague de faux messages vise des milliers de comptes Français Facebook. Prudence aux photos sexy diffusées.

Vulnérabilité sur les site de FHM, ELLE et Forbes

Info zataz - Des failles découvertes sur les sites des magazines FHM, ELLE et Forbes peuvent mettre en danger les lecteurs internautes.

Fuite pour l'Université du Massachussets

Info zataz - 3.000 identités d´étudiants, dont des Français, étaient disponibles à partir de l'Université du Massachussets.

Utiliser WhatsApp en WiFi rend les conversations publiques

L’application de messagerie instantanée multiplateforme WhatsApp ne chiffrait pas les données envoyées.

Faille pour le site de Harvard

Info zataz - La prestigieuse école Harvard trouée. Un white hat découvre comment accèder à l'une de ses bases de données.

Rencontres professionnelles de la sécurité informatique

Challenges, conférences, ateliers et démonstrations au programme du salon de la sécurité informatique, les 2 et 3 juin, au Maubeuge

Mise à jour de sécurité pour QuickTime

Apple a publié 17 alertes de sécurité vusant QuickTime Media Player.

Orion Browser Dumper v1.0

Orion Browser Dumper v1.0, un outil qui permet de regarder dans les petits secrets de nos navigateurs Internet.

Réagissez à ce contenu