Message reçu le 20 juin à 6h09 :
Vous avez reçu un nouveau message privé.
Cliquez ici pour lire votre message.
Ce message a été généré automatiquement
Crédit Agricole 2011
En fait, le lien pointe sur : http://www.seko-gyoseishoshi. net/.credit-agricole.fr/
Ce lien est toujours actif, plus de 72h après une des campagnes de diffusion du courriel contrefait.
Au niveau filtrage navigateur :
- IE 9 : aucune alerte
- Firefox 5 : aucune alerte
- Opéra 11.11 : aucune alerte
- Safari 5.0.5 : aucune alerte
- Chromium 0.9.58.471 : aucune alerte.
Module Netcraft : aucune alerte.
Voici ce que donne la page contrefaite :
Pour mieux comprendre ce qu'il se passe, faisons un accès à la ressource "index", avec capture des requêtes HTTP :
Comme on peut le voir, les requêtes HTTP basculent sur https://www.paris-enligne.credit-agricole.fr
Mais, un "get aaa.html", sur le domaine parent (doncseko-gyoseishoshi.net) semble surprenant.
Le code source de la page index.html révèle la supercherie technique :
<iframe src="aaa.html" name="pageIdent" width="195" height="235" frameborder="0" scrolling="no">Votre navigateur ne supporte pas les IFRAME ......</iframe> Injection de page, via balise iFrame.
Effectivement, le formulaire contrefait apparaît tout de suite :
Malheureusement pour les utilisateurs dupés, les données saisies dans le formulaire sont renvoyées par formulaire sur login.php, mais qui n'est pas hébergé chez Crédit Agricole :
<form style="display:inline;" name="loginForm" method="POST" action="login.php" autocomplete="off" onsubmit="return checkData();">
Un accès à la page index.php renvoie immédiatement sur : https://www.paris-enligne.credit-agricole.fr/g1/ssl/identification/nav1/acc_ide1_1.htm
C'est plus discret, effectivement.
----------------------------------------------------------------------------------------------------------------------------------------------
Par rapport au site compromis lui-même :
Il n'y a visiblement pas de réel gestionnnaire d'erreur. Du coup, il est facile de faire sortir la version du serveur HTTP...
Apache 2.0.51 sur Fedora, pas de doute, le site a quelques mises à jour de retard.
D'après ce site, le serveur serait en Fedora Core 4, par rapport à la version d'Apache correspondante :
http://doc.fedora-fr.org/wiki/Installation_et_configuration_d'Apache
Par rapport à la ligne éditoriale de HTTPd, il semble qu'il y ait 13 versions ultérieures, corrigeant bogues et failles de sécurité, pour la branche 2.0 :
http://httpd.apache.org/security/vulnerabilities_20.html
En cherchant les paquetages Fedora pour HTTPd, il semble que la version 2.0 ("non recommandée" par Apache) ne soit plus proposée pour Fedora : http://www.rpmfind.net/linux/rpm2html/search.php?query=httpd&submit=Search+...&system=fedora&arch=
Autant dire donc que ce site devait certainement avoir plusieurs failles de sécurité permettant de le compromettre et d'y poser le nécessaire au hameçonnage.
Enfin, hébergé au Japon, selon Netcraft, il sera certainement compliqué de demander réparation ou de leur imposer une correction rapide par voie officielle... les fameuses lois du sol.
------------------------------------------------------------------------------------------------------------------------------------------------
Suite à mes signalements, voici quelques retours :
Netcraft n'a pas validé le signalement... (23/06/11)
The URL you recently submitted could not be accepted as a phishing
site by the Netcraft Anti-Phishing Team, for the following reason:
This is not a phishing site.
URL:
http://www.seko-gyoseishoshi.
The Netcraft Anti-Phishing Team
