Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
19 septembre 2010 7 19 /09 /septembre /2010 14:27

Je vais rédiger cet article en Français, vu que le message et la cible sont francophones... :)

 

J'ai reçu un message, et j'avoue que moi le premier j'ai failli me faire prendre. Heureusement, je me suis souvenu que j'avais résilié il y a quelques mois déjà mon abonnement Orange (France Telecom). Il s'agit d'un message indiquant que ma soit-disant banque a refusé un prélèvement automatique pour France Telecom.

 

Le texte est plutôt bien fait, mais il manque les caractères spéciaux (surtout les accents) :

 

Bonjour,

Votre banque a refuse le prelevement de 27,90 euros pour votre Facture France telecom n BOXNPT-54009-648055 de ce mois ,et ne pouvant faire un prelevement automatique.Vous devez adherer au service d'authentification des operations carte sur Internet.

 

 

 

hameconnage_FranceTel_Shredder-19092010-copie-1.jpg

 

Mozilla Shredder bloque le "contenu distant" des messages. Il propose à l'utilisateur de toujours valider le téléchargement de ce contenu, selon l'adresse email indiquée en émetteur. Il s'agit ici de : 

service@Securecode.eu

Ce qui est certainement assez tentant pour un utilisateur lambda.

 

La vraie adresse d'expédition du courriel est pourtant : envelope-from <root@s15385563.onlinehome-server.info>

Donc là-dessus, Thunderbird (Shredder) induit l'utilisateur en erreur. Il ne prend pas le bon champ dans le courriel indésirable, et du coup, affiche une adresse "choisie" par les auteurs du message, pour induire les utilisateurs en erreur.

 

Au niveau du filtrage du courriel (qui aurait dû avoir lieu) :

- filtrage Orange : inefficient

- filtrage SpamAssassin : inefficient

- filtrage Razor, DCC, XBL : inefficient 

- filtrage par Thunderbird (Bayésien principalement) : inefficient.

 

Concernant la machine émettrice du message : s15385563.onlinehome-server.info   un joli message nous accueille quand on accède à la page.

s15385563.onlinehome-server.info_190810.jpg

 

Pour le FQDN de l'émetteur du message, voici ce que donnent quelques tests :

- Netcraft : à peine un peu de rouge dans la barre d'outil

- trustedsource.org : risque minimum, catégorie "internet services"

- senderbase.org : aucune alerte pour l'URL. Bonne réputation pour l'adresse IP ! (87.106.216.161)

- dnsbl.info : aucun listage de l'adresse IP

- robtex.com : la zone onlinehome-server.info a 2 signalements : postmaster.rfc-ignorant.org et abuse.rfc-ignorant.org

J'apprends grâce à Trustedsource que les serveurs de nom sont chez 1and1(donc le domaine malveillant aussi). Tiens donc, une vieille connaissance pour ceux qui épluchent le web pour ce qui est VX.

Grâce à domaincrawler.com, j'apprends (ou confirme) que l'adresse IP est allemande.

 

Dans le code source du message, il y a un lien vers une image : 

 http://hocusadabra.com/upload/userfiles/VerifiedMasterVisa.jpg 

C'est une "vraie" image de Mastercard SecureCode , toujours pour induire l'utilisateur en erreur.

VerifiedMasterVisa.jpg

 

Si l'on clique sur le lien inclus dans le courriel, voici la vraie URL qui s'affiche dans le navigateur :

http://cinedis. famfmalaga.org/tmp/login-vbv/logine745514566/

cinedis.famfmalaga.org_Authentification_190810.jpg

On notera les belles fautes de frappe : "Veuillez Remplire l'au dessous de la forme", qui pourraient peut être alerter un utilisateur soucieux de parler en bon français...

Au niveau des navigateurs :

- Opera : aucune alerte

- Internet Explorer 8 : aucune alerte

- Chrome : aucune alerte

- Firefox 64 (Namoroka) : aucune alerte

- Netcraft : aucune alerte

- Safari : aucune alerte

Donc en résumé... aucune alerte !

 

Ce que je trouve également intéressant, c'est le code source de cette page : entièrement obfusqué.

source_cinedis.famfmalaga.org_190910.jpg

D'autre part, en remplissant le formulaire et en cliquant sur "Valider", les sessions HTTP révèlent que la machine distante, plus que probablement compromise, tourne avec :

Server Apache/2.2.3 (CentOS)

X-Powered-By PHP/5.1.6

cinedis.famfmalaga.org_valid-form_19092010-copie-1.jpg

 

On appréciera la mention "service vérifié par Visa"..

Je parierais que les failles PHP (non corrigées dans cette vieille version) ont pu faciliter l'intrusion sur le serveur.

Partager cet article

Repost0

commentaires