Phishing : décortiquons un faux site de l’administration fiscale

Le phishing, on en entend beaucoup parler, mais ZATAZ préfère vous montrer du concret afin de mieux comprendre comment agissent les malveillants derrière ces escroqueries. Des attaques de plus en plus travaillées.

Alerter sur une attaque phishing, détail que ZATAZ propose depuis plus de 20 ans, est devenu un grand classique sur la toile, les réseaux sociaux. Un moyen d’alerter les plus fragiles, les moins regardants face à ce type d’attaque numérique. Alerter c’est bien, mais aujourd’hui je vais vous décortiquer une attaque, histoire de comprendre que la collecte d’information débute bien avant la diffusion des courriels.

Amasser des adresse mails

Le pirate doit d’abord regrouper une certaine quantité d’adresse mail. Pour cela, malheureusement simple comme bonjour. Comme je peux vous l’expliquer ICI et LA, récupérer des points de contact est aussi simple que du sable sur les plages de Dunkerque. Ma capture écran vous montre comment, en moins de 2 minutes, le Service Veille de ZATAZ a trouvé une base de données, dans le black market, comprenant … 600 millions de mails d’Américain.

Ensuite, le malveillant doit mettre la main sur deux espaces numériques importants dans sa malveillance. Les sites qui vont lui permettre de balancer ses messages piégés (phishing) et les sites qui vont héberger les pages usurpatrice. Ici, notre exemple est du jour (06/02/2019). Il concerne une fausse page de l’administration fiscale. Un faux site de la direction générale des Finances publiques

Collecter un maximum, rapidement

Le problème des pirates amateurs de phishing, la durée de vie de leur « création ». Une fois les alertes lancées, l’url référencé par les différents outils de cybersécurité (Spam, antivirus, …) l’attaque perd de son efficacité. Mais dans ce lapse de temps, qui peut varier selon l’efficacité de la construction malveillante, la collecte d’information peut être exponentielle. Dans notre cas du jour, le pirate s’est installé dans une dizaine de sites web. Des espaces numériques faillibles. Un plugin permet d’injecter le document pirate. Des sites basés en grande partie en Asie. Par exemple, pensionsanchay.org.in. A noter que le pirate a récupéré ces 10 sites sur un blackmarket. Le « vendeur » se débarrassait, pour quelques euros, d’espaces web qui ne lui étaient plus utiles.

Fausses pages

Notre faux sites de l’administration fiscale collecte ses premières informations avant même que les potentielles victimes aient proposé la moindre donnée. Chaque connexion est « logguée », comprenez que l’adresse IP est copiée et sauvegardée. Cela peut toujours se revendre. Vient ensuite les formulaires. Ici, du classique : identités, adresses, données bancaires, mots de passe. Petite finesse, la demande du code dédié à la double authentification. Un détail de taille, cela implique que notre pirate soit présent, devant son administration pirate pour prendre la main du compte bancaire de sa victime au même moment de la réception du code de double authentification. La page de double authentification par SMS, comme montré dans ma capture écran ci-dessus est tirée de la vraie page d’EDF !

le phishing

Vraie collecte pirate

Une fois les données collectées, elles sont envoyées à deux supports distincts. Le premier, un fichier sauvegardé sur le site utilisé dans la fraude. Un fichier texte dans la plupart du temps comme je vous le montre dans ma capture écran que j’ai baptisé « Baiser magique« . Ceux qui suivent ma chronique TV sur la Cybersécurité auront compris la vanne :). Le second support, un mail envoyé directement au pirate.

Ici, une certaine Sylvie… qui s’est fait pirater son compte Gmail. Compte qui permet aux pirates de recevoir les informations sans laisser trop de trace. C’est d’ailleurs ce détail qui le fait sortir de son trou afin d’exploiter dans la foulée la double authentification.

Utilisation des données

Après cette collecte, le pirate va d’abord voir comment les exploiter pour sa propre personne. Beaucoup de pirates que je peux croiser revendent aussi, les données, par petits bouts. Les mails seront vendus sous forme de combos. Des paquets de centaine de milliers d’adresses mails classées par pays, entreprises, FAI … Les données bancaires commercialisées à d’autres malveillants. Les téléphones pour des spammeurs. Bref, un phishing peut rapporter en entre 0 et plusieurs milliers d’euros à celui qui le met en place.

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Pingback: ZATAZ Tentative de vol de données pour les clients d'Infomaniak - ZATAZ

  2. Pingback: ZATAZ Nouveau phishing aux couleurs des impôts, le pirate joue avec le prélèvement à la source - ZATAZ

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.