Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
23 juin 2011 4 23 /06 /juin /2011 15:13

Message reçu le 20 juin à 6h09 :

 

 

Vous avez reçu un nouveau message privé.
Cliquez ici pour lire votre message.

Ce message a été généré automatiquement

Crédit Agricole 2011

 

 

En fait, le lien pointe sur : http://www.seko-gyoseishoshi. net/.credit-agricole.fr/

 

Ce lien est toujours actif, plus de 72h après une des campagnes de diffusion du courriel contrefait.

 

Au niveau filtrage navigateur :

- IE 9 : aucune alerte

- Firefox 5 : aucune alerte

- Opéra 11.11 : aucune alerte

- Safari 5.0.5 : aucune alerte

- Chromium 0.9.58.471 : aucune alerte.

Module Netcraft : aucune alerte.

 

 

Voici ce que donne la page contrefaite :

site_contrefait_C-Agri_230611.jpg

 

 

Pour mieux comprendre ce qu'il se passe, faisons un accès à la ressource "index", avec capture des requêtes HTTP :

 

RQ_http_seko-gyoseishoshi.net_230611.jpg

 

Comme on peut le voir, les requêtes HTTP basculent sur  https://www.paris-enligne.credit-agricole.fr

 

Mais, un "get aaa.html", sur le domaine parent (doncseko-gyoseishoshi.net) semble surprenant.

 

Le code source de la page index.html révèle la supercherie technique :

  <iframe src="aaa.html" name="pageIdent" width="195" height="235" frameborder="0" scrolling="no">Votre navigateur ne supporte pas les IFRAME ......</iframe>  

Injection de page, via balise iFrame.

 

Effectivement, le formulaire contrefait apparaît tout de suite :

formulaire_seko-gyoseishoshi.net_230611.jpg

 

Malheureusement pour les utilisateurs dupés, les données saisies dans le formulaire sont renvoyées par formulaire sur login.php, mais qui n'est pas hébergé chez Crédit Agricole :

 <form style="display:inline;" name="loginForm" method="POST" action="login.php" autocomplete="off" onsubmit="return checkData();">  

 

Un accès à la page index.php renvoie immédiatement sur : https://www.paris-enligne.credit-agricole.fr/g1/ssl/identification/nav1/acc_ide1_1.htm

C'est plus discret, effectivement.

 

----------------------------------------------------------------------------------------------------------------------------------------------

 

Par rapport au site compromis lui-même :

 

site-gyoseishoshi.net_230611.jpg

 

Il n'y a visiblement pas de réel gestionnnaire d'erreur. Du coup, il est facile de faire sortir la version du serveur HTTP...

 

Apache 2.0.51 sur Fedora, pas de doute, le site a quelques mises à jour de retard.

 

D'après ce site, le serveur serait en Fedora Core 4, par rapport à la version d'Apache correspondante :

http://doc.fedora-fr.org/wiki/Installation_et_configuration_d'Apache

 

Par rapport à la ligne éditoriale de HTTPd, il semble qu'il y ait 13 versions ultérieures, corrigeant bogues et failles de sécurité, pour la branche 2.0 :

http://httpd.apache.org/security/vulnerabilities_20.html

 

En cherchant les paquetages Fedora pour HTTPd, il semble que la version 2.0 ("non recommandée" par Apache) ne soit plus proposée pour Fedora :  http://www.rpmfind.net/linux/rpm2html/search.php?query=httpd&submit=Search+...&system=fedora&arch=

 

Autant dire donc que ce site devait certainement avoir plusieurs failles de sécurité permettant de le compromettre et d'y poser le nécessaire au hameçonnage.

Enfin, hébergé au Japon, selon Netcraft, il sera certainement compliqué de demander réparation ou de leur imposer une correction rapide par voie officielle... les fameuses lois du sol.

 

 

------------------------------------------------------------------------------------------------------------------------------------------------

 

Suite à mes signalements, voici quelques retours :

 

Netcraft n'a pas validé le signalement... (23/06/11)

 

The URL you recently submitted could not be accepted as a phishing
site by the Netcraft Anti-Phishing Team, for the following reason:

This is not a phishing site.

URL:
http://www.seko-gyoseishoshi.net/.credit-agricole.fr/

The Netcraft Anti-Phishing Team

Partager cet article

Repost0

commentaires