Publié le 26-07-2006 dans le thème Réseau - Sécurité

Pays : International - Auteur : Damien Bancal

Depuis quelques semaines, une attaque d'envergure est en train de pourrir forums et blogs. Le principe est simple, nous vous en parlions déjà l'année dernière, mais depuis quelques semaines l'intensité des "spams" a augmenté. Découverte d'une p'tite bête, qui monte, qui monte, qui monte !

Tout débute par un peu d'imagination. Le pirate a mis en place un script, un petit programme automatique, qui permet de générer des centaines de faux messages sur un forum, un blog, ... Les missives sont toutes sympathiques "Many interesting information on your site - keep up good work; Nice site... Cool guestbook...; The site's very professional! Keep up the good work! Oh yes, one extra comment - maybe you could add more pictures too! So, good luck to your team!; etc..." Mission de ces messages, vous inciter à cliquer sur le lien qui est fourni. Comme vous l'aurez très certainement compris, un piège qui renvoie sur des Casinos, des pharmacies on line, ... Intéressantes actions. Les sites, hébergeant les casinos, pharmacies ont été, eux-mêmes piratés (voir capture ci-dessous, NDR).

Par exemple, l'un des liens, renvoi sur le site d'une mamie américaine. Le pirate, originaire des pays de l'Est à la vue de certaines annotations dans l'un des codes sources découvert, a pénétré le serveur (http://suzanneschlosberg.com) et ils y a installé une page de redirection (gmahoneyk/etc/free-casino). Cette redirection voyage vers le site Monaco casinos. Une unique page herbégée en Argentine. Le pirate a enregistré une dizaine de dossiers dans ce site, qu'il a préalablement piraté, tels que /casino/, /Poker/, /roulette/, etc.

Même son de cloche pour les pharmacies onlines. D'abord de faux messages sur les blogs, forums, ... Un site piraté, par exemple tennisads.com et toujours la création de sous dossiers (/didrex/, /xenical/, /levitra/, /vitamin/, ...) renvoyant sur un portail dédié aux médicaments. Portail qui lui même renvoie sur divers boutiques médica... menteuses.

Le but du pirate ?
Simple et précis à la fois. Générer du trafic pour augmenter sa cagnotte publicitaire. Comment ? Le pirate s'est d'abord inscrit comme partenaire via des casinos on-line (888, ...) Il a ensuite cacher ses partenariats financiers via de faux sites qu'il a installé un peu partout sur des serveurs préalablement piratés. Les liens de ces sites pirates renvoient tous sur la même adresse 64.111.196.117. En tapant cette ip dans un navigateur, un gros "Not Found", une erreur, apparaît. Malin, le pirate tente de faire croire que l'adresse n'est plus valide. En tapant l'intégralité de l'url, que le pirate a codé, nous nous voyons redirigé sur une autre url, peakc.com (64.111.196.114 - Url enregistré par Stefan Meyer, originaire de Salzburg. Site très certainement lui même piraté), qui fait lui-même une nouvelle redirection, la quatriéme et définitive, cette fois vers le partenaire publicitaire. L’ensemble des sites piratés, qui permettent les redirections, sont hébergés chez ISPrime Inc, une société basée à New York. D'ici là à dire qu'une faille touche cet ISP, il n'y a qu'un pas.

Même méthode pour les pharmacies. Faux sites, urls de redirection, qui aboutissent tous vers peakc.com (64.111.196.114). Dans ce cas, le pirate renvoie sur des e-pharmacies telles que atcostpharma, etc ... A noter que plusieurs e-pharmacies, qui plus est ont des allures plus que douteuses, ont toutes été enregistrées… en Ukraine, par une mystérieuse, et très certainement fausse, Anna Volkova. Son mel, par contre, fonctionne toujours. Il est hébergé chez 4Enet.by, une société basée en Biolorussie.

Difficile à remonter le pirate ? Oui et non. Il suffirait à la justice de faire une demande aux partenaires. Les derniers liens de redirection contiennent tous le code partenaire du pirate. Sans ça, il ne toucherait aucun argent. Et en grattant un peu plus, il trouverait même l'ip du pirate sur son blog hébergé chez wordpress.com. Dix huit "faux" sites sont hebergés sur le serveur employé par le pirate. On y trouve, par exemple, casino2007, forextradingbank ou encore un sympathique squattage de la marque Yahoo via yahoo-search.biz.

Bref, comme vous avez pu le voir, l'argent doit couler à flot pour mettre en place une telle arnaque. Petits conseils, ne cliquez jamais sur les url données par ce genre de message. Ne répondez encore moins aux courriers qui vous parviennent. Comme l'écrivait Jean de la Fontaine, Tout flatteur vit au dépend de celui qui l'écoute.

# Liens connexes

En savoir plus sur les e-pharmacie

Trojan.Silentbanker

Plus discret et plus intelligent, Trojan.Silentbanker ou le cheval de Troie qui ferait pâlir d´envie Ulysse et Jesse James.

Musique gratuite pour téléphone portable

Le constructeur finlandais Nokia va mettre en place, jeudi prochain, son offre de musique illimitée sur mobile.

Consortium Actimize

Pour lutter mondialement contre les fraudes à la carte de paiement, Actimize se dote d´une nouvelle technologie d´analyse et acquiert les droits d´exploitation de données issues d´un consortium représentant des milliards de transactions.

Les faux anti-spyware innondent le web !

Une nouvelle menace qui risque de s´amplifier dans les mois à venir : les faux anti-spyware. Ces attaques passaient jusqu´alors inaperçues. Aujourd´hui, elles prennent une tout autre dimension.

Protection antivirus et sauvegarde

Les solutions antivirus ESET NOD32 et ESET Smart Security s´associent à Carbonite afin d´offrir à tout nouvel utilisateur ESET, la sauvegarde en ligne de leurs données pendant 1 an.

Dictao présente son portail de signature électronique

Dictao, éditeur de référence de produits logiciels pour les applications de dématérialisation des flux reposant sur la signature électronique, sera présent aux Assises de la Sécurité 2008, à Monaco.

Prévention contre les fuites de données

La prévention contre les fuites de données de Websense est désormais disponible pour les postes de travail, avec une intégration à la passerelle de sécurité Internet.

Une nouvelle utilisation simultanée de plusieurs techniques de spams

Les spammeurs tentent de piéger les utilisateurs en les poussant à confirmer la validité de leur adresse e-mail.

Prévention contre les fuites de données

La prévention contre les fuites de données de Websense est désormais disponible pour les postes de travail, avec une intégration à la passerelle de sécurité Internet.

Cartes´08 : Ingenico sécurise le futur du sans contact

Ingenico, leader du marché, dévoilera lors du prochain salon Carte´08 la gamme la plus large de solutions de paiement sécurisées sans contact.

The Middler is watching you

Un chercheur en sécurité informatique montre un logiciel de type man-in-the-middle capable de pirater Gmail, Facebook, LiveJournal et LinkedIn.

Faille Windows: Redirection de dll a la loupe

Avez-vous des procésssus bizarres cachés dans votre Windows ? Découverte des redirections de DLL. Mefiez-vous des .Manifest

Méfiez-vous de votre navigateur

Facebook a corrigé sa faille de redirection qui pouvait permettre le vol des identifiants. Explication et démonstration.

Microsoft Business Intelligence 2008

Microsoft dévoile la prochaine génération de SQL Server et encourage les entreprises à exploiter davantage l´analyse décisionnelle.

Les logiciels de chiffrement de Prim´X passent au 64BITS

La suite de chiffrement de l´éditeur est compatible avec les plates-formes 64 bits et Windows Server 2008.

Les 10 symptômes qui font dire que votre serveur est piraté

L'Institut SANS, groupe de chercheurs internationaux sur la sécurité informatique, vient d'éditer les 10 symptomes qui vous font dire que votre serveur à peut-être été pitaté.

Réagissez à ce contenu