Publié le 16-04-2004 dans le thème Téléphonie

Pays : International - Auteur : Damien Bancal

Pub : CA Personal Firewall 2007 - Contrecarrez les intrus!

Ils ne payent pas de mine, mais permettent aux pirates de se payer des mines d'internautes. Eux, se sont les dialers, de petits programmes vicieux qui déconnectent les internautes de l'Internet pour les connecter sur des connexions surtaxées. Comment cela fonctionne-t-il ? Comment s'en protéger ?

Surf sous contrôle
Jacques à 49 ans. Il aime Internet et surf quelques heures par semaine. Il ne le cache pas, il aime visiter de temps en temps des sites pour adultes, des sites roses qui l'amusent. Il passe aussi, quelques fois, sur des sites warez. "Je trouve toujours rigolo de voir ce genre de site. Ils parlent de tout et de n'importe quoi." Un peu mateur Jacques, "oui, je ne le cache pas, mais c'est vraiment à dose homéopathique."

Seulement, un beau jour de fevrier Jacques a reçu sa facture mensuelle téléphonique. Une surprise, de taille, l'attendait. "Je paie d'habitude, entre 150 et 200 euros par mois. Cette fois, ma facture a explosé avec un montant de 800 euros".

Que s'est-il donc passé ? Jacques a-t-il laissé branché son Minitel ? Un de ses enfants a-t-il abusé d'émissions de real Tv qui demandent de voter par téléphone ? Malheureusement non. Plus simple encore, Jacques a été victime d'un dialer.

Comment cela marche ?
Lors d'une des ses visites sur un site adulte ou warez, Jacques n'a pas prêté attention à cette fenêtre qui s'est ouverte son surf. La page était simple, clair. "Cliquez ici pour fermer cette fenêtre" indiquait la pop-up. Jacques n'a pas cherché à savoir, des pubs, il en voit des dizaines. Il a donc obéit et cliqué sur le bouton "fermer".

Cette action a lancé la procédure. La fenêtre fermée, un petit logiciel s'est installé sur le pc. Un petit programme qui en paye pas de mine. Jacques n'y prêtera pas attention tout de suite.

Le lendemain, en relançant sa machine, Jacques aperçoit un icône qui ressemble fort à celui qu'il utilise chaque jour pour se connecter à Internet. Il clique et... le voilà connecté au web.

Il va découvrir, un mois plus tard, que ce logiciel le connectait bien sur le réseau des réseaux mais via une connexion audiotel surtaxée.

Dialer, raleur !
Si le logiciel a été lancé cette fois par Jacques, d'autres techniques "pirates" permettent de connecter et déconnecter dans la foulée l'internaute imprudent. Il ne se rendra pas compte du changement de connexion, sauf, peut-être, une erreur d'affichage lors de la transition.

D'autres sites pornos, warez, vois certains casinos, utilisent des failles Internet Explorer pour installer le programme "dialer" sans même que l'internaute ait besoin de cliquer sur quoique ce soit.

D'autres dialer peuvent être aussi téléchargés par des utilisateurs qui croient ainsi obtenir des jeux, des vidéos, des consultations astrologiques, ...

Cas dramatiques
Henry et Mary McNeill vivent à Glasgow. Ils ont découvert sur leur facture téléphonique des prélèvements plus que bizarre. Papy aurait-il eu un retour de sève ? Des dizaines de livres ont été dépensés sur des appels surtaxés à destination de communication pour adulte. Ils ont voulu se plaindre auprès de British Telecom.

Bilan "Les employés de BT se sont moqués de nous. Ca les amuse de savoir que des gens comme nous se fassent pirater. Il gagne sur tous les fronts car ce genre de piratage leur rapporte aussi beaucoup d'argent" dixit Mr McNeil. "Les employés nous ont fait remarquer que nous étions responsable de notre ligne et nous devions payer".

Autre exemple, plus d'un millier d'internautes italiens se sont retrouvés avec une facture téléphonique énorme. Le virus Marq.a, aka Zelig, est passé par là. Le problème est malheureusement tout simple. Les victimes, qui n'avaient ni antivirus, ni logiciels mis à jour et patchés se sont fait piéger par des sites web utilisant une faille permettant de télécharger un logiciel.

Une fois le dialer installé, les internautes ont cliqué dessus, pensant pour certains qu'ils avaient téléchargé un écran de veille. L'exécution du dialer les a déconnecté d'internet pour les reconnecter sur une ligne téléphonique surfacturée. Les sites "pirates" sont basés dans les Antilles Hollandaises. L'enquête de la police indique que l'argent ainsi prélevé, des milliers d'euro, ont été envoyés dans une banque à New York pour être crédité sur le compte d'un homme de 39 ans originaire du Venezuela.

Le pirate utilisait 30 comptes téléphoniques pour son escroquerie. Il était en cours de négociation pour augmenter le nombre de ligne à 120 au moment de son arrestation.

Qui ce cache derrière cette arnaque
Une fois sur l'ordinateur piraté, le logiciel met en place une connexion Internet, via un ligne téléphonique surtaxée. En France, cette méthode est censée être interdite par France Télécom. Les pirates utilisent donc des services téléphoniques internationaux. Les tarifs "surfant" entre 3 et 5 euros la minute. Sur les factures, les appels sont notifiés dans le Pacifique, aux Iles Cook, à Sao Tome (Afrique), au Togo ou encore à Madagascar. Les "pirates" ont trouvé ce moyen pour gagner beaucoup d'argent sans que l'internaute ne sorte son porte-monnaie... directement.

Les dialeuristes utilisent des outils tel que Dialer.CB. Ce numéroteur "dialer" se connecte à Internet et télécharge des fichiers qu'il sauvegarde ensuite dans un répertoire. Il crée également quatre fichiers (2_INFO_PERSIST, NAVPMC.DLL, NAVPMC.EXE et UNINSTALL.EXE) dans le sous-répertoire NAVPMC de Windows. En outre, Dialer.CB crée quatre entrées dans le registre Windows. L'outil, se connecte ensuite sur des sites pornos aux communications surtaxées.

Autre exemple, Dialer.AF. Il installe un fichier nommé "EROS.EXE" sur l'ordinateur affecté, ainsi que plusieurs clés dans le Registre Windows. Dialer.AF a les effets suivants : Une fois installé, il affiche une icône sur la barre des tâches de l'ordinateur affecté, près de l'horloge système. Lorsque l'utilisateur clique avec le bouton droit de la souris sur cette icône, une option de désinstallation (Uninstall...) apparaît. Si l'utilisateur choisit cette option, le programme semble se désinstaller. Un processus demeure toutefois en mémoire et ni l'entrée insérée dans le Registre Windows ni le fichier ne sont supprimés. Lorsque l'ordinateur redémarre, Dialer.AF est donc toujours résident sur l'ordinateur affecté et il laisse un port de communication ouvert. Il appelle via Internet un numéro à tarification majorée sans le consentement de l'utilisateur, avec le coût que ce type d'appel implique.

SysComm est un autre dialer qui effectue des appels sur les services téléphoniques payants 906-xxx-xxx dès que la date système atteint le 1er avril. La diffusion de SysComm est essentiellement basée sur des messages électroniques dotés des fichiers attachés suivants : FERIA.JPG.VBS qui se charge de propager la contamination. FERIA2.JPG contient pour sa part une simple image et ATXXXXX.ATT qui est vide.

Pornspa.D établit une connexion avec une ligne téléphonique payante. Il est facile de savoir si ce virus a infecté un ordinateur, comme il affiche une icône dans la poubelle du système Windows et crée un raccourci vers un fichier sur le bureau appelé DATEMAKERSPAIN.EXE.

On terminera avec un dialer vicieux couplé avec un virus. Timebomb.A installe une page web de 482 octets appelée index.htm dans le répertoire temporaire de Windows. La seule fonction de cette page est d'en télécharger une autre qui contient un minuteur. Lorsque ce minuteur arrive à zéro, une autre page est téléchargée conduisant à d'autres avec contenu réservé aux adultes et un dialer qui fera des connexions sur des lignes surtaxées.

Comment se défendre
Pour éviter ce genre de chose, n'hésitez pas à demander à France Télécom de bloquer la possibilité d'appeler des numéros payants via votre ligne. Pensez aussi à utiliser un firewall qui permettra de bloquer ce genre de logiciel inopportun, notre bloqueur de ports et/ou notre navigateur NIS permet ce genre de chose.
Vérifiez aussi toujours votre ordinateur, les icônes étranges et les nouveaux répertoires ouverts dans Windows/, Temp/, ... L'ADSL permet d'éviter ce genre de probléme.

Vulnérabilité critique dans MessengerFX

Un client très populaire pour Windows Live Messenger, MessengerFX, laisse la possibilité à un pirate d'accéder à la liste des contacts d'un utilisateur légitime.

L’OTAN s'arme face aux cyberguerriers

Le Centre de formation à la défense contre des attaques cybernétiques sur Internet va ouvrir en Estonie.

Network Products Guide DefensePro

Radware reçoit le prix de l’innovation produit 2008 du Network Products Guide DefensePro, lauréat dans la catégorie de la sécurité comportementale.

Scene 1, bobine 2. Deconnexion de pirate Internet, action

La première déconnexion pour piratage de musique sur Internet vient de toucher un pirate informatique pas comme les autres. Un gouvernement !

Veni, Vidi, Wistee

Nouvelle attaque informatique de type hameçonnage visant les clients de Paypal. Wistee de nouveau exploité par des pirates.

NDS jugé non coupable de piratage informatique

Le jugement sur l'affaire du piratage du système de chiffrement des chaînes de télévision à péage se termine par le blanchiment du principal accusé, NDS.

Le SP3 a des ratés... bis !

Les problèmes du Service Pack 3 dédié à Windows XP n'a pas fini de pertuber les utilisateurs. Aujourd'hui, la fermeture intempestive de certains ordinateurs.

L'Eee PC 900 moins cher avec XP que sous Linux

Originalité marketing. L'ultra PC d'ASUS, l'Eee PC 900, sera vendu moins cher avec Windows XP qu'avec Linux.

Arnaque téléphone: Mais que fait France Télécom ?

Retour des SMS piégés. Aujourd'hui, le SMS pirate vous fait croire que vous avez reçu un message sur votre répondeur.

Piratage d'une liaison fibre optique

Des chercheurs démontrent comment il est possible de pirater, en temps réel, une liaison fibre optique.

Faille de sécurité pour l'iPhone

Radware découvre une vulnérabilité de déni de service dans le navigateur Internet iPhone Safari d’Apple.

iPhone 2.0: la 3G confirmée

Le nouveau téléphone portable d'Apple, l'iPhone 3G arrive. La 3G confirmée par le firmware 2.0.

F-Secure et CSL s’associent

L'éditeur finlandais F-Secure collabore avec l’opérateur chinois CSL pour lancer une offre complète de protection des mobiles.

Un téléphone chiffré intéressait les services de renseignement mondiaux

La société israélienne Tikal Networks vient de mettre sur le marché un téléphone spécial James Bond. Les services de renseignement mondiaux seraient intéressés.

Business pirate des appels surtaxés

Il pleut des SMS arnaques dans nos téléphones portables. Voici venir un nouveau chèque piégé par téléphone portable.

Coeur à prendre, porte-monnaie à vider

Nouvelle arnaque en cours via les téléphones portables. Aujourd'hui un/une inconnu(e) vous envoie un SMS.

Réagissez à ce contenu