Bienvenue sur ZATAZ

Reportage

Dialer, piège à facture

Publié le 16-04-2004 dans le thème Téléphonie

Pays : International - Auteur : Damien Bancal

Pub : Tous les logiciels anti-spam gratuits disponibles sur Internet

Note des lecteurs: 1.6/5

Ils ne payent pas de mine, mais permettent aux pirates de se payer des mines d'internautes. Eux, se sont les dialers, de petits programmes vicieux qui déconnectent les internautes de l'Internet pour les connecter sur des connexions surtaxées. Comment cela fonctionne-t-il ? Comment s'en protéger ?

Surf sous contrôle
Jacques à 49 ans. Il aime Internet et surf quelques heures par semaine. Il ne le cache pas, il aime visiter de temps en temps des sites pour adultes, des sites roses qui l'amusent. Il passe aussi, quelques fois, sur des sites warez. "Je trouve toujours rigolo de voir ce genre de site. Ils parlent de tout et de n'importe quoi." Un peu mateur Jacques, "oui, je ne le cache pas, mais c'est vraiment à dose homéopathique."

Seulement, un beau jour de fevrier Jacques a reçu sa facture mensuelle téléphonique. Une surprise, de taille, l'attendait. "Je paie d'habitude, entre 150 et 200 euros par mois. Cette fois, ma facture a explosé avec un montant de 800 euros".

Que s'est-il donc passé ? Jacques a-t-il laissé branché son Minitel ? Un de ses enfants a-t-il abusé d'émissions de real Tv qui demandent de voter par téléphone ? Malheureusement non. Plus simple encore, Jacques a été victime d'un dialer.

Comment cela marche ?
Lors d'une des ses visites sur un site adulte ou warez, Jacques n'a pas prêté attention à cette fenêtre qui s'est ouverte son surf. La page était simple, clair. "Cliquez ici pour fermer cette fenêtre" indiquait la pop-up. Jacques n'a pas cherché à savoir, des pubs, il en voit des dizaines. Il a donc obéit et cliqué sur le bouton "fermer".

Cette action a lancé la procédure. La fenêtre fermée, un petit logiciel s'est installé sur le pc. Un petit programme qui en paye pas de mine. Jacques n'y prêtera pas attention tout de suite.

Le lendemain, en relançant sa machine, Jacques aperçoit un icône qui ressemble fort à celui qu'il utilise chaque jour pour se connecter à Internet. Il clique et... le voilà connecté au web.

Il va découvrir, un mois plus tard, que ce logiciel le connectait bien sur le réseau des réseaux mais via une connexion audiotel surtaxée.

Dialer, raleur !
Si le logiciel a été lancé cette fois par Jacques, d'autres techniques "pirates" permettent de connecter et déconnecter dans la foulée l'internaute imprudent. Il ne se rendra pas compte du changement de connexion, sauf, peut-être, une erreur d'affichage lors de la transition.

D'autres sites pornos, warez, vois certains casinos, utilisent des failles Internet Explorer pour installer le programme "dialer" sans même que l'internaute ait besoin de cliquer sur quoique ce soit.

D'autres dialer peuvent être aussi téléchargés par des utilisateurs qui croient ainsi obtenir des jeux, des vidéos, des consultations astrologiques, ...

Cas dramatiques
Henry et Mary McNeill vivent à Glasgow. Ils ont découvert sur leur facture téléphonique des prélèvements plus que bizarre. Papy aurait-il eu un retour de sève ? Des dizaines de livres ont été dépensés sur des appels surtaxés à destination de communication pour adulte. Ils ont voulu se plaindre auprès de British Telecom.

Bilan "Les employés de BT se sont moqués de nous. Ca les amuse de savoir que des gens comme nous se fassent pirater. Il gagne sur tous les fronts car ce genre de piratage leur rapporte aussi beaucoup d'argent" dixit Mr McNeil. "Les employés nous ont fait remarquer que nous étions responsable de notre ligne et nous devions payer".

Autre exemple, plus d'un millier d'internautes italiens se sont retrouvés avec une facture téléphonique énorme. Le virus Marq.a, aka Zelig, est passé par là. Le problème est malheureusement tout simple. Les victimes, qui n'avaient ni antivirus, ni logiciels mis à jour et patchés se sont fait piéger par des sites web utilisant une faille permettant de télécharger un logiciel.

Une fois le dialer installé, les internautes ont cliqué dessus, pensant pour certains qu'ils avaient téléchargé un écran de veille. L'exécution du dialer les a déconnecté d'internet pour les reconnecter sur une ligne téléphonique surfacturée. Les sites "pirates" sont basés dans les Antilles Hollandaises. L'enquête de la police indique que l'argent ainsi prélevé, des milliers d'euro, ont été envoyés dans une banque à New York pour être crédité sur le compte d'un homme de 39 ans originaire du Venezuela.

Le pirate utilisait 30 comptes téléphoniques pour son escroquerie. Il était en cours de négociation pour augmenter le nombre de ligne à 120 au moment de son arrestation.

Qui ce cache derrière cette arnaque
Une fois sur l'ordinateur piraté, le logiciel met en place une connexion Internet, via un ligne téléphonique surtaxée. En France, cette méthode est censée être interdite par France Télécom. Les pirates utilisent donc des services téléphoniques internationaux. Les tarifs "surfant" entre 3 et 5 euros la minute. Sur les factures, les appels sont notifiés dans le Pacifique, aux Iles Cook, à Sao Tome (Afrique), au Togo ou encore à Madagascar. Les "pirates" ont trouvé ce moyen pour gagner beaucoup d'argent sans que l'internaute ne sorte son porte-monnaie... directement.

Les dialeuristes utilisent des outils tel que Dialer.CB. Ce numéroteur "dialer" se connecte à Internet et télécharge des fichiers qu'il sauvegarde ensuite dans un répertoire. Il crée également quatre fichiers (2_INFO_PERSIST, NAVPMC.DLL, NAVPMC.EXE et UNINSTALL.EXE) dans le sous-répertoire NAVPMC de Windows. En outre, Dialer.CB crée quatre entrées dans le registre Windows. L'outil, se connecte ensuite sur des sites pornos aux communications surtaxées.

Autre exemple, Dialer.AF. Il installe un fichier nommé "EROS.EXE" sur l'ordinateur affecté, ainsi que plusieurs clés dans le Registre Windows. Dialer.AF a les effets suivants : Une fois installé, il affiche une icône sur la barre des tâches de l'ordinateur affecté, près de l'horloge système. Lorsque l'utilisateur clique avec le bouton droit de la souris sur cette icône, une option de désinstallation (Uninstall...) apparaît. Si l'utilisateur choisit cette option, le programme semble se désinstaller. Un processus demeure toutefois en mémoire et ni l'entrée insérée dans le Registre Windows ni le fichier ne sont supprimés. Lorsque l'ordinateur redémarre, Dialer.AF est donc toujours résident sur l'ordinateur affecté et il laisse un port de communication ouvert. Il appelle via Internet un numéro à tarification majorée sans le consentement de l'utilisateur, avec le coût que ce type d'appel implique.

SysComm est un autre dialer qui effectue des appels sur les services téléphoniques payants 906-xxx-xxx dès que la date système atteint le 1er avril. La diffusion de SysComm est essentiellement basée sur des messages électroniques dotés des fichiers attachés suivants : FERIA.JPG.VBS qui se charge de propager la contamination. FERIA2.JPG contient pour sa part une simple image et ATXXXXX.ATT qui est vide.

Pornspa.D établit une connexion avec une ligne téléphonique payante. Il est facile de savoir si ce virus a infecté un ordinateur, comme il affiche une icône dans la poubelle du système Windows et crée un raccourci vers un fichier sur le bureau appelé DATEMAKERSPAIN.EXE.

On terminera avec un dialer vicieux couplé avec un virus. Timebomb.A installe une page web de 482 octets appelée index.htm dans le répertoire temporaire de Windows. La seule fonction de cette page est d'en télécharger une autre qui contient un minuteur. Lorsque ce minuteur arrive à zéro, une autre page est téléchargée conduisant à d'autres avec contenu réservé aux adultes et un dialer qui fera des connexions sur des lignes surtaxées.

Comment se défendre
Pour éviter ce genre de chose, n'hésitez pas à demander à France Télécom de bloquer la possibilité d'appeler des numéros payants via votre ligne. Pensez aussi à utiliser un firewall qui permettra de bloquer ce genre de logiciel inopportun, notre bloqueur de ports et/ou notre navigateur NIS permet ce genre de chose.
Vérifiez aussi toujours votre ordinateur, les icônes étranges et les nouveaux répertoires ouverts dans Windows/, Temp/, ... L'ADSL permet d'éviter ce genre de probléme.

Derniers contenus

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Vos réactions ( 0 )

Réagissez à ce contenu

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

Application iPhone et iPad ZATAZ, gratuite et sans publicité.

Labs ZATAZ

CVE-2011-3230 Apple Safari file:// Arbitrary Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Aaron Sigel Publication coordonnée de la vulnérabilité le 12-10-2011 PoC Metasploit fournit le 16-10-2011 PoC fournit par : Aaron Sigel sinn3r Référence(s) : CVE-2011-3230 HT5000 Version(s) affectée(s) : Safari 5.1 pour Mac OS X v10.6.8 Sa [...]

Modules Metasploit Auxiliaires MySQL

Metasploit fournit des modules auxiliaires pour la base de données MySQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes S [...]

Modules Metasploit Auxiliaires PostgreSQL

Metasploit fournit des modules auxiliaires pour la base de données PostgreSQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et li [...]

CVE-2011-0807 : Sun/Oracle GlassFish Server Authenticated Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Jason Bowes et soumise à ZDI Notification initiale de ZDI vers le fournisseur le 23-09-20102 Publication coordonnée de la vulnérabilité le 19-04-2011 PoC Metasploit fournit le 04-08-2011 PoC fournit par : juan vazque [...]

Syndication RSS

ZATAZ mobile et PDA

PDA
Imode

A PROPOS CONTACT Graphisme par Exclusive Network
www.antivirus-enligne.com www.antispyware-gratuits.com www.firewall-gratuit.com
www.outilsgratuits.com www.antispam-gratuits.com www.antiphishing-gratuit.com www.virus-alerte.com

Tout usage des informations diffusées par ZATAZ.COM est soumi à autorisation préalable et express. La violation de ces dispositions impératives soumet le contrevenant,
et toutes personnes responsables, aux peines pénales et civiles prévues par la loi française.

Copyright ZATAZ 1997 - 2012