Free et les charges inhabituelles : phishing!

Clients de chez free.fr, attention! Une campagne de spam est actuellement en cours promouvant une page de phishing.

Le message donne ceci :

Chers client (e) Free,
Par mesures de sécurité et Grâce à notre expérience, Nous contrôlons tous les charge inhabituelles liée a votre compte.
Nous avons déterminé que quelqu'un a peut-être tenté d'accéder à votre compte Free sans votre autorisation.
Pour votre protection, nous avons restreint l'accès à votre compte.

Numéro de Référence : YS88K77

Nous avons temporairement restreint l'accès à votre compte. Nous réétudierons cette restriction lorsque vous
aurez fourni les informations demandées.
Pour lever cette restriction, vous devez suivre les étapes suivantes :

1. Cliquez sur le lien suivant : http://imp.free.fr/horde/compte=YS88K77?39485773999
2. Connectez-vous
3. Mise à jour vos informations personnelles
4. Reconnectez-vous

Vous avez un délai de 48h pour rétablir l'accès à votre compte sans ceux votre compte sera supprimé définitivement ! Merci, L'équipe Free Adsl (Freebox) Veuillez ne pas répondre à cet email. Les messages reçus à cette adresse ne sont pas lus et ne reçoivent donc aucune réponse.
-------------------------------------
Webmail Free.fr Copyright © 2010 ! Tous droits réservés Email Free n° PP4988

imp.free.fr est réellement un sous-domaine de free (le webmail). Mais dans l'URL présentée ci dessus, le nom de domaine est http://www.id-orange-securite.com, le /imp.free.fr/* n'étant qu'un dossier de l'arborescence du site.

Le site est déjà signalé comme contrefait, et certains navigateurs affiche un bandeau d'avertissement :


Si le graphisme n'est pas des plus réussi, en revanche le phisher a eu l'astuce de mettre des liens vers de vraies pages free.fr (accueil, souscription nouveau client,...).
Le nom de domaine pourrait laisser à penser que ce site devait à la base servir de base de phishing Orange. Le listage des dossiers étant interdit, cela reste laborieux à vérifier. En revanche un whois donne des informations très détaillées sur le nom de domaine (adresse postale et mail valides, registar suisse net4all.ch) ce qui n'est normalement pas le cas des domaines phishing qui optent généralement au moins pour un whois privée sur un registar offshore. Il s'agit donc, peut-être, d'un site légitime qui a été compromis.

Loterie Bill Gates : Microsoft dénonce l'escroquerie

Une campagne récente de spam promet des gains via une "Loterie Mirosoft". La société de Redmond met en garde ses utilisateurs dans un billet : "il n'existe pas de « Loterie Microsoft »"

Voici un exemple de courrier :


Le mail annonce un gain de 100.000€, mais demande de garder cette information confidentielle. Il s'agit en réalité d'une arnaque commune sur internet, connue sous le nom de scam 419 ou lettre nigérienne.

Microsoft rappelle les règles de bon sens en cas de reception d'e-mail suspect :
- ne pas répondre
- ne pas cliquer sur les liens
- effacer le message
Il recommande également de signaler l'arnaque sur signal-spam.

Un partenariat Facebook-Youtube?

Il y a environ une semaine, le compte youtube de l'éditeur de logiciel de sécurité Sophos a reçu ce message :

En français :
Bonjour SophosLabs , un de vos amis m'a indiqué que vous aimiez Facebook et je pense que vous voudriez bien regarder le nouvel espace VIP de Facebook. Vous avez plein de choses gratuites sans rien faire, et pour toute participation à une enquête vous recevez £20 ou £35. Et vous recevez aussi des billets gratuits pour les lieux que vous souhaitez, sans que l'on vous demande rien.

Facebook et Youtube sont en train de faire un partenariat, donc avec cette offre vous recevez un accès premium à Youtube, par exemple vous serez capable de regardez des vidéos officielles jusqu'à une semaine avant sa publication, mais pas seulement, vous recevrez une boite mail illimitée avec des cadeaux gratuits de Youtube.

Est-il nécessaire de dire que ce message est plus que suspect? Le site www.facebook-vip-service... a été bloqué par l'hébergeur pour cause de non respect des conditions d'utilisation. D'après Sophos, le but de cette page était de pousser l'utilisateur à donner des informations personnelles dans l'espoir d'avoir accès à cette fameuse "zone VIP Facebook".

Phishing chez SFR

Dans les derniers jours, les clients 9box de chez SFR ont été la cible d'une vague de phishing.
Les clients recevaient via spam un mail de ce type :

image : ariase.com

Le lien "Accéder à votre compte" pointait vers une adresse hébergé chez Ripway - un hébergeur pas mal utiliser par les membres de HackForum- qui a été bien heureusement suspendu : http://h1.ripway.com/dinpsy/facture.exe.
Si le mail ne contenait pas de faute et gérait bien les caractères accentués, en revanche il manque de finesse en ce qui concerne l'URL. Mettre un *.exe à télécharger n'est pas très subtil quand on souahite au départ consulter sa facture en ligne.

Heureusement le pirate à l'origine de cette attaque phishing n'est pas au courant de la vulnérabilité XSS découverte par theSnailSnapper, qui permet de rediriger l'utilisateur vers n'importe quel site internet depuis la page https://www.sfr.fr/authent.

Une vulnérabilité XSS menace les utilisateurs d'Orange

Décidément, les opérateurs télécom ne sont pas tous de bon élève en sécurité Web. Après la vulnérabilité trouvé chez SFR par theSnailSnapper, c'est TinKode qui dévoile un Proof Of Concept sur le site orange.co.uk .

Grâce à une injection de code dans l'URL, TinKode prouve qu'il est possible de voler les cookies d'authentification d'utilisateur. Cette vulnérabilité est d'autant plus sérieuse qu'elle est présente sur une page de demande de mot de passe.

Ensuite le pirate roumain montre qu'il est capable de piéger l'URL avec un faux logiciel. Ainsi un utilisateur suivant le lien (au travers d'un vague de phishing par exemple) se verra proposer de télécharger un logiciel. Cela pourrait très bien être un Stealer, un logiciel qui s'installe sur votre ordinateur, vol tous les mot de passe Firefox, IE, Steam, MSN, ... et les envoie par mail ou par ftp sur un serveur distant.
Ici un PoC avec Winamp :

Le site de SFR vulnérable aux XSS

Une page d'authentification du site sfr.fr autorise un attaquant a y injecter des scripts, des iframe, ... Sur son blog, theSnailSnapper montre comment cette faille pourrait être utilisé pour du phishing :

Hello Dear customers,
blablabla
please put your credit cards data on your Customer Panel.

Regards,

The SFR Team

Le lien, commençant bien par www.sfr.fr, redirige vers le blog du bidouilleur. Imaginez seulement si celui-ci redirigeait vers une copie de cette page d'authentification!

Petit clin d'oeil, il a incrusté dans la page de SFR une petite pub pour un de ses concurrents direct : Orange!

theSnailSnapper a prévenu par mail l'équipe du site le 14 janvier ... aujourd'hui les portes sont encore grandes ouvertes!

Botnet : mise en place et SAV

Tous les éditeurs antivirus s'accordent à le dire, 2009 a été un déferlement de malware. Et certains d'entre eux ont enrôlé des PC de monsieur dans dans de grand Botnet.
La multiplication de ces armées de PC zombies a amené un vrai commerce. Louer un botnet de dizaine de milliers de machines, pour faire crasher le site d'un concurrent par exemple, peut revenir à moins de 100$.

L'industrie du cyber-crime est bien plus organisé que l'on pourrait le croire. Ce ne sont pas/plus des gosses de 14 ans ou un chevelus lunette ronde au nez de 30 ans, mais de vrais entrepreneurs, avec un grand renfort de codeur, de commerciaux, ... (à ce titre vous pouvez lire le billet de Philippe Maltere sur le blog sécurité d'Orange Business Services : Cybercriminalité SA, une société comme une autre ?)

Vous connaissez peut-être les "Marketplaces", ces bazars underground où les hackers du monde entier offre leurs services, vendent des botnets ou des listes de mots de passe. La compétition est rude, et donc tout est bon pour se démarquer du voisin ... y compris ouvrir un Service Après Vente. Vous achetez sur un site un trojan, un stealer, un pack phishing ou un service de spreading, et inclus dans le prix un Helpdesk vous dépannera en cas de malfonctionnement d'un de leurs outils pirates.

Voici l'exemple d'un service mature et aboutis : Furio Gaming.

Furio Gaming est un site hébergé en Allemagne et lancée début 2008. En 2009, avec plus de 1500 clients, FG se voit refondu en une véritable entreprise. Compte Paypal et AlertPay certifiés, des techniciens accusant au minimum 5 ans d'expérience dans la banche, un service 24/7 et garantissant un 100% satisfait.
Ses 4 activitées principales sont :

- des services "gaming" : piratage de consoles, account leveling, ...
- des services graphismes : logos, webdesign, ...
- des services d'hébergement de site web
- des services "hacking

L'offre hacking est très complète.

On retrouve les RAT (Remote Admin Tool) entre 24 et 29 $, des packs phishing (Paypal, Xbox Live, Hotmail, Amazon, Steam, Gmail, ...) pour moins de 10$, des voleur de mots de passe pour 50$.
Une fois équipé, ou alors possédant déjà votre propose arsenal, FG propose des services de diffusion de vos malware. Deux offres principales : le Turbo spreading et le spreading tout simple.

Le spreading seul vend un certains nombre de petit logiciel (keygen, DDosser, Automate youtube, ...) dont la cible principale est d'autres pirates (de logiciels, consoles ou les scripts-kiddies). Le pack de base (35 $) comprend trois logiciels, avec un rendement théorique d'environ 50 zombies en 5 jours. Le pack premium (6 logicels, 60 $) a un rendement de 400 bots en 3 jours!
En option le FUDing (dissimulation antivirus) et le chiffrement du botnet.

La seconde offre est une solution quasi clé en main :


1000 zombies pour moins de 80$ avec livraison en 4 jours, effectivement c'est du "turbo"! Une note en bas invite à ouvrir un ticket incident en cas de problème. A la manière d'un service web tout à fait légal, une page internet permet d'ouvrir un incident d'une manière extrèmement simple :

Furio Game n'est qu'un exemple parmi d'autres, mais dans son article Gunter Ollmann (ancien Chief Security Strategist à IBM) indique que FG possède l'une des équipes techniques les plus professionnelles.

Le monde des Botnets et du hacking est donc un business, il ne faut pas l'oubliez. Mais ce qui ne faut pas oublier non plus, c'est qu'à l'image du monde dans lequel on vit, il y a encore la place la passion.

adaptation française de : The Botnet Distribution and Helpdesk Services (Damballa)

Google query suggestion : à quand aux mains des pirates?

Vous avez surement déjà remarqué que quand vous tapez une recherche, google vous la corrige ou vous la complète. Cela peut par exemple vous en apprendre de belle sur la population d'un pays :
Pourquoi les français puent? 4 000 000 de résultats? Bah dîtes moi je vais de ce pas dévaliser le rayon axe de mon supermarché!
Cette fonctionalité de Google, c'est la Query Suggestion, une fonctionnalité à cocher ou décocher dans les paramètres de recherche google.



Trêve de parenthèse, vous connaissez peut-être aussi la recherche google qui vous donne la definition d'un mot :
define:Palimpseste
Maintenant, oui. Peu de gens connaissent cette fonction, c'est sans doute pourquoi google a décidé de l'intégrer dans le Query Suggestion :
Pratique! Mais vous sentez le malaise? Imaginez qu'un résultat de définition (sur le mot phishing, conficker, svshot.exe, ...) soit tenu par un site malicieux, placé dans les premières positions grâce à des techniques de Black SEO!

Pour le moment ce n'est pas encore le cas, mais déjà que les sites vérolés squattent les pubs adsense, il n'y a maintenant qu'un pas.

Phishing free.fr tellecheafamily.com

Un phishing free.fr est en cours, visant les abonnés du FAI. La page a été placé ici par des pirates, ayant utilisés les nombreuses vulnérabilités de la galerie photo Coppermine, que le propriétaire avait mis en place.

Le site du Pentagone vulnérable aux XSS!

Le pentagone, tout le monde connait ce bâtiment mythique abritant le quartier général du département de la Défense des États-Unis. Symbolique de la puissance américaine, le pentagone laisse pourtant quelques portes ouvertes sur son site internet.

Une vulnérabilité XSS toute bête, présente dans la page /tours.

Injections d'iframes également possibles :




Cette vulnérabilité peut sembler anodine, mais elle peut s'avérer désastreuse lors du campagne de phishing.

Imaginez qu'un citoyen américain reçoivent un mail demandant de cliquer sur http://pentagon.afis.osd.mil/. Pas trop bête, il regarde vers quoi redirige ce lien : http://pentagon.afis.osd.mil/tours?action=viewLargePhoto&title=1>"%0A%22%3C%73%63%72%69%70%74%3E%64%6F%63%75%6D%65%6E%74%2E%6C%6F%63%61%74%69%6F%6E%2E%72%65%70%6C%61%63%65%28%22%68%74%74%70%3A%2F%2F%6E%65%77%73%2D%6F%66%2D%73%65%63%75%72%69%74%79%2E%62%6C%6F%67%73%70%6F%74%2E%63%6F%6D%2F%22%29%3B%3C%2F%73%63%72%69%70%74%3E
C'est bien le site officiel du pentagone, je clique ... et je suis dirigé quasi instantanément vers un autre site. Ici cela redirige vers news-of-security, donc cela se voit. Mais imaginez un phisher qui aurait copié pixel pour pixel le vrai site du pentagone ....

Google Mystery : amusant, mais potentiellement dangereux

Google Mystery est un concept original : tapez une recherche dans la barre (au graphique très proche de google) et vous aurez le résultat de la recherche faite par la personne juste avant vous. Concept génial, on s'amuse alors à taper une recherche afin de voir ce qu'il y avait avant nous ... et souvent, c'est ça :


Du spam! Et oui, il faut y penser, mais ce Google mystery peut vite devenir un outils formidable pour tous les bidouilleurs de la planète.

Black SEO
Un webmaster ou bloggeur peu scrupuleux pourrait créer un script bombardant de requête "recherche" Google Mystery. Ainsi en recherchant disons 100 fois à la minute news-of-security.blogspot.com, je pourrais très bien recevoir un trafic assez conséquent que se soit en recherche "classique" ou via le bouton "J'ai de la chance".

Malware Spreading
Exactement de la même manière que pour la Black SEO, un pirate pourrait utiliser le même genre de script pour mettre en avant un de ses sites malicieux : phishing, fichiers vérolés, faux antivirus, ... tout est alors envisageable!


Voici encore un exemple de détournement réalisable d'une application inoffensive en une machine à véroler.

Phishing Free.fr qualitylingerie.net

Personne n'est épargné par les tentatives de phishing. Il nous échappe surement des centaines de cas chaque jour, mais quand on peut aider...

Voici le message que nous avons récupéré, provenant de l'adresse mail alert@free.fr. La syntaxe est bonne est les fautes d'orthographes peu nombreuses :

Cher(ere) xxxxxxx@xxxxx.xxx ,

Merci de lire attentivement ce courrier. Il contient des informations essentielles,
destinees a faciliter l'utilisation de votre compte Freebox et le recours a ses differents services.

Avez-vous recemment modifier votre banque, votre numero de telephone ou de carte de credit?

Pour vous assurer que votre service ne soit pas interrompu,
veuillez mettre a jour vos informations de facturation en cliquant ci-dessous aujourd'hui.

-----------------------------------------------------------

http://www.qualitylingerie.net/images/www.free.fr/index.htxxxetcetc

-----------------------------------------------------------

Si vous avez recemment mis a jour vos informations de facturation,
veuillez ne pas tenir compte de ce message que nous traitons les modifications que vous avez apportees.


L'equipe Freebox


===========================================================
===========================================================

(c) 2009 Free ADSL Freebox

Un message plutôt de qualité si 3 détails ne choquaient pas :

- le message a été envoyé sur une boîte gmail

- l'URL qualitylingerie.net est très très très douteuse...

- tout autant que l'adresse mail source alert@free.fr

Comme souvent les spammers ont mis plus d'énergie dans la finition de la page de phishing que dans le mail :

Le site hébergeant cette page frauduleuse est une vitrine de boutique Ebay spécialisée dans la lingerie. Le site, hébergé en Amérique du Nord, a vraisemblablement été piraté.

Certains navigateurs web bloquent d'ors et déjà cette page, mais prudence reste de mise.

Phishing Steam steampowared.tk

Un nouveau site de phishing visant les utilisateurs de steam vient de voir le jour.
La charte graphique est quasiment identique à l'original.
L'original :

et la version malicieuse :

Le site est hébergé aux Pays-Bas, et l'extension est fournis gratuitement par tahola.tk

Le but de cette page est de confondre un utilisateur lambda, de lui soutirer son nom d'utilisateur et son mot de passe afin par la suite de prendre le contrôle de son compte.
Sur les "marchés noirs", un compte steam basic (half life +counterstrike) peut se vendre quelques dollars.

Phishing Apple/MobilMe

MobileMe est un service d'Apple permettant de synchroniser à distance en mode "push" le courrier électronique, les contacts et les événements de calendrier de tous ses appareils (iPhone, Mac, PC, ...). Pour bénéficier de ce service il faudra débourser entre 79 et 119 $ par an...alors forcement quand on est accros à MobilMe on a pas envie de se retrouver sans synchro durant un jour ou deux à cause d'une bête histoire de renouvellement d'abonnement.

Certains utilisateurs ont reçu un mail des derniers jours, les informant que leur compte MobilMe expirait le lendemain :

From: Mobile IDisk [noreply01@me.com] [mailto:noreply01@me.com]
Date: November 8, 2009 5:25:10 PM CST
To: [*****]
Subject: **Your subscription expires tomorrow...*

Welcome,

Just a reminder to renew your MobileMe subscription by November 08,
2009 PDT to avoid interruption of service.

*To renew your service, log in to MobileMe, select Account, and click
Account Options.*Then click the
* Login* box for your subscription. When you're done, click Billing
Info and make sure your credit card information is up to date. It
takes only a few minutes, and your credit card won't be charged until
the day before your renewal date.

Thanks for being a MobileMe subscriber. We're looking forward to
another great year. .

http://apple-me.info/ =>Lien malicieux

Copyright 2009 Apple Inc. All rights reserved.

Les utilisateurs était, un fois arrivé sur la page, invités à rentrer leurs infos Apple et bancaires. Le site apple-me.info n'a pas fait long feu, puisque moins de 3 jours après la vague de spam, il était offline.

Faites donc bien attention quand vous vous connectez à un site requirant une identification. Vérifiez notamment les certificats!

Voici la page original du service MobilMe et les informations à regarder afin de vérifier l'authenticité du site.