Publié le 24-03-2006 dans le thème Phishing - Hoax

Pays : International - Auteur : Damien Bancal

Pub : CA Anti-Virus 2007 - Protection exhaustive contre l’intrusion de virus!

Samedi 18 mars, un mel étrange débarque dans les boîtes électroniques de milliers de Français. La majorité de ces courriers sont à destination d'internautes clients de la société Free, mais pas seulement. Nous avons découvert qu'une des bases de données de mels employées par les pirate est constituée depuis au moins deux ans. Les pirates ont pris le temps de regrouper des dizaines de milliers d'adresses électroniques pour viser large et efficace. Dans cette base de données, une société française a eu l'intégralité de ses mels employés dans cette attaque, soit 11 000 adresses actives. La premiére attaque a débuté, samedi, vers 18h00. Le premier mel, il y en aura en tout, une quinzaine, sont rédigés. Orthographe et grammaire "bancales". Première banque attaquée, Le Crédit Lyonnais, la LCL. Viendra ensuite des mels pour les clients de la BNP, pour les clients de la Société Générale. La LCL sera de nouveau ciblée mardi matin, avec d'autres banques européennes comme PostBank ou la Barclay's.

Les pirates ont pris le temps d'installer leurs fausses pages sur des serveurs piratés, pour la plupart en Corée du Sud. (Voir notre page dédiée aux phishing, NDR). Un groupe de pirate que nous avons baptisé R One, en raison de la constante apparition, dans les urls pirates, du dossier /r1/.

Les mels envoyés, comme nous l'indiquions au moment des attaques, sont passés par des serveurs piratés. Des relais comme 18.217.197.254 ; 60.177.151.32 ; 18.217.197.254 ; ... Dans l'ensemble des mels, des textes, en anglais, ayant pour mission de piéger les logiciels antispams. À noter que les textes en question sont tirés des livres de Stephen King. Un chapitre de "Misery", ainsi que de "Christine". Les serveurs employés, comme nous l'indiquions sont basés en Corée du Sud, mais aussi en Pologne et en Roumanie. (58.180.233.70 ; 211.195.221.187 ; 83.18.117.43 ; 60.196.158.130 ; 210.182.104.102). Constante, les serveurs, des Apaches mal configurés. Les Url ne fonctionnent plus, mais les ip, sont toujours actifs.

Une attaque minutieuse qui a visé les Français et leurs banques, préparée, nous le pensons au vu des informations trouvées sur les serveurs, depuis au moins le mois de décembre 2005. Nous vous parlions, déjà, il y a quelques semaines, de couteau Suisse, mis en place par des "phishers". Voir notre reportage vidéo à ce sujet. (Dossier Sécurité/i>, article 10 060)

Qui se cache derrière cette attaque ? Très certainement plusieurs personnes, particulièrement bien entraînées, avec un timing "militaire". Nous n'en dirons pas plus pour le moment. Des "pirates" qui ne se sont pas attaqués qu'à la France. Les Internautes Allemands, Suédois, Américains, Australiens, ont été visés. Les serveurs employés cachent, toujours pour certains, d'autres pages pirates, visant d'autres banques ou services de commerce en ligne.

Prudence donc, ils vont revenir !