Free et les charges inhabituelles : phishing!

dimanche 28 mars 2010

Clients de chez free.fr, attention! Une campagne de spam est actuellement en cours promouvant une page de phishing.

Le message donne ceci :

Chers client (e) Free,
Par mesures de sécurité et Grâce à notre expérience, Nous contrôlons tous les charge inhabituelles liée a votre compte.
Nous avons déterminé que quelqu'un a peut-être tenté d'accéder à votre compte Free sans votre autorisation.
Pour votre protection, nous avons restreint l'accès à votre compte.

Numéro de Référence : YS88K77

Nous avons temporairement restreint l'accès à votre compte. Nous réétudierons cette restriction lorsque vous
aurez fourni les informations demandées.
Pour lever cette restriction, vous devez suivre les étapes suivantes :

  1. Cliquez sur le lien suivant : http://imp.free.fr/horde/compte=YS88K77?39485773999
  2. Connectez-vous
  3. Mise à jour vos informations personnelles
  4. Reconnectez-vous
Vous avez un délai de 48h pour rétablir l'accès à votre compte sans ceux votre compte sera supprimé définitivement ! Merci, L'équipe Free Adsl (Freebox) Veuillez ne pas répondre à cet email. Les messages reçus à cette adresse ne sont pas lus et ne reçoivent donc aucune réponse.
-------------------------------------

Webmail Free.fr Copyright © 2010 ! Tous droits réservés
Email Free n° PP4988


imp.free.fr est réellement un sous-domaine de free (le webmail). Mais dans l'URL présentée ci dessus, le nom de domaine est http://www.id-orange-securite.com, le /imp.free.fr/* n'étant qu'un dossier de l'arborescence du site.

Le site est déjà signalé comme contrefait, et certains navigateurs affiche un bandeau d'avertissement :


Si le graphisme n'est pas des plus réussi, en revanche le phisher a eu l'astuce de mettre des liens vers de vraies pages free.fr (accueil, souscription nouveau client,...).
Le nom de domaine pourrait laisser à penser que ce site devait à la base servir de base de phishing Orange. Le listage des dossiers étant interdit, cela reste laborieux à vérifier. En revanche un whois donne des informations très détaillées sur le nom de domaine (adresse postale et mail valides, registar suisse net4all.ch) ce qui n'est normalement pas le cas des domaines phishing qui optent généralement au moins pour un whois privée sur un registar offshore. Il s'agit donc, peut-être, d'un site légitime qui a été compromis.

L'App Store vend des petites pilules bleues

samedi 27 mars 2010

Apple vient d'être la cible d'une campagne de spam. L'une des plus populaire plate-forme d'achat multimédia attire des millions de clients, de quoi allécher les méchants du web.

image : websense

Le lien mène à un site compromis qui redirige ensuite vers une pharmacie canadienne :
image : websense

Cette action de grande envergure repose sur un certains nombre de sites piratés, servant de miroir à une redirection vers ces pharmacies spam, mais également vers des exploits.

Attention aux sites d'informations sur les Philippines

vendredi 26 mars 2010

Le 25 mars, un tremblement de terre de magnitude 6 a secoué Manille, la capitale des Philippines. Moins d'un jour plus tard, des résultats de recherche google sont déjà vérolés.


Plusieurs sites, grâce à des techniques de black SEO, empoisonnent les résultats Google. Lorsque l'on clique sur le lien, on est redirigé vers une page hébergé en pologne et affichant un faux scan antivirus :



La plupart du temps se sont des sites légitimes, mais dont un pirate a piégé une page ou un dossier.

Fuites de coordonnées bancaires pour la SNCF?

mercredi 17 mars 2010

En début de semaine, un hacker à prévenu par mail la SNCF d'une faille majeure dans leur système. Nom, adresse, téléphone et date de naissance de clients titulaires d'une des cartes de fidélités SNCF étaient accessible en "quelques clics" sur internet : "Il suffit de connaître le numéro de n'importe quel abonné à une carte de fidélité pour accéder non seulement à ses propres coordonnées mais aussi à celle des autres abonnées". Mais selon la SNCF les coordonnées bancaires ne sont pas visibles .

C'est le Canard enchainé qui a révélé l'affaire, précisant que ce n'est pas la première fois pour la société ferroviaire française : "En juin 2008, la Direction de l'audit et des risques avait pondu une note confidentielle alarmante (...). Les experts maison s'inquiétaient d'un possible 'détournement des données de fidélisation voyageurs'". Selon la SNCF, la faille a été corrigé mardi.

Une refonte complète du site est prévue pour avril 2010.

Loterie Bill Gates : Microsoft dénonce l'escroquerie

Une campagne récente de spam promet des gains via une "Loterie Mirosoft". La société de Redmond met en garde ses utilisateurs dans un billet : "il n'existe pas de « Loterie Microsoft »"

Voici un exemple de courrier :


Le mail annonce un gain de 100.000€, mais demande de garder cette information confidentielle. Il s'agit en réalité d'une arnaque commune sur internet, connue sous le nom de scam 419 ou lettre nigérienne.

Microsoft rappelle les règles de bon sens en cas de reception d'e-mail suspect :
- ne pas répondre
- ne pas cliquer sur les liens
- effacer le message
Il recommande également de signaler l'arnaque sur signal-spam.

Un partenariat Facebook-Youtube?

mardi 16 mars 2010

Il y a environ une semaine, le compte youtube de l'éditeur de logiciel de sécurité Sophos a reçu ce message :

En français :
Bonjour SophosLabs , un de vos amis m'a indiqué que vous aimiez Facebook et je pense que vous voudriez bien regarder le nouvel espace VIP de Facebook. Vous avez plein de choses gratuites sans rien faire, et pour toute participation à une enquête vous recevez £20 ou £35. Et vous recevez aussi des billets gratuits pour les lieux que vous souhaitez, sans que l'on vous demande rien.

Facebook et Youtube sont en train de faire un partenariat, donc avec cette offre vous recevez un accès premium à Youtube, par exemple vous serez capable de regardez des vidéos officielles jusqu'à une semaine avant sa publication, mais pas seulement, vous recevrez une boite mail illimitée avec des cadeaux gratuits de Youtube.

Est-il nécessaire de dire que ce message est plus que suspect? Le site www.facebook-vip-service... a été bloqué par l'hébergeur pour cause de non respect des conditions d'utilisation. D'après Sophos, le but de cette page était de pousser l'utilisateur à donner des informations personnelles dans l'espoir d'avoir accès à cette fameuse "zone VIP Facebook".

Obama accident : une nouvelle campagne d'infection

Une rumeur se répand sur Windows Live Messenger : Obama aurait eu un accident. Un lien est censé montrer une photo de l'accident de voiture qui a tué le président des États-Unis ...


... mais en réalité il redirige vers le malware BUZUS. La dernière campagne de spreading de grande envergure aillant utilisé le président Obama remonte à 2008.

Phishing chez SFR

mercredi 3 mars 2010

Dans les derniers jours, les clients 9box de chez SFR ont été la cible d'une vague de phishing.
Les clients recevaient via spam un mail de ce type :

image : ariase.com

Le lien "Accéder à votre compte" pointait vers une adresse hébergé chez Ripway - un hébergeur pas mal utiliser par les membres de HackForum- qui a été bien heureusement suspendu : http://h1.ripway.com/dinpsy/facture.exe.
Si le mail ne contenait pas de faute et gérait bien les caractères accentués, en revanche il manque de finesse en ce qui concerne l'URL. Mettre un *.exe à télécharger n'est pas très subtil quand on souahite au départ consulter sa facture en ligne.

Heureusement le pirate à l'origine de cette attaque phishing n'est pas au courant de la vulnérabilité XSS découverte par theSnailSnapper, qui permet de rediriger l'utilisateur vers n'importe quel site internet depuis la page https://www.sfr.fr/authent.