Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
17 juillet 2012 2 17 /07 /juillet /2012 00:02

 L'exemple, réel, m'a tellement plu que je n'ai pas pu m'empêcher de le publier :) (oui, ça faisait un moment que je n'avais pas publié, je sais...).

 

Tout commence par une mise en relation, via Internet... ami d'ami, sites d'événementiel, etc Bref, tout commence bien.

 

C'est alors qu'une demoiselle (je pense ! ) vous approche. Très vite, elle vous demande votre adresse MSN. Pourquoi pas. Bon, je passerai sur le niveau en Français, catastrophique pour ne pas dire honteux. Tellement que cela en deviendrait suspect...   Juste un petit exemple :

le chapeau je t'envoierais çela en france sa serrais un cadeau pour toi

 

La demoiselle donc pose des questions, et monte son scénario. Elle indique être actuellement en Afrique, pour "raisons personnelles", temporaires... et plus précisément en Côte d'Ivoire. Pour ceux qui traînent un peu dans la veille sécurité, le "tilt" du Scam 419 pourrait ne pas être loin, mais bon passons (pour le moment).

 

Bref, la demoiselle indique ne pas avoir de sous, mais par contre souhaiterait... qu'on lui paye le billet (aller-simple, mais bien sûr) pour Paris...! là ça commence à devenir louche.

 

Commençons donc les vérifications.

 

Déjà, petit rappel, MSN étant une forme de P2P, il est facile de renifler le trafic (avec Wireshark ou autre), et trouver l'IP de la personne avec qui l'on cause (hé oui, désolé si un mythe s'effondre...).

wireshark_msn.png

 

on voit bien du trafic MSN, pur, avec le serveur (l'IP appartenant à MSFT), et le trafic MSN qui l'encadre. Voici donc l'IP de la fameuse personne : 213.136.125.178

 

Bon, un petit tour sur RIPE pour voir ?

https://apps.db.ripe.net/search/query.html?searchtext=213.136.125.178&search%3AdoSearch=Search#resultsAnchor

 

Localisation : Côté d'Ivoire, ça semblerait cohérent...

 

Mais ce n'était qu'une première étape. Que disent nos chers moteurs de recherche ? oups....

 

Déjà, le même pseudo est pris, sur d'autres sites : http://www.jecontacte.com/profil/Florencebonheur  dont le thème est clairement affiché... (non, je ne me mettrai pas de capture d'écran :[ ) pas franchement discret de prendre le même pseudo entre sites différents. D'autant plus que Google, lui, indexe tout, et a de la mémoire !

 

Pour confirmer le tout, en 10 min à peine de parlotte, la "damoiselle" se laisse convaincre d'envoyer un email avec une "photo d'elle" (puisqu'elle tient absolument à faire une conversation vidéo... alors qu'elle n'a pas de webcam, elle...)

Bingo, merci les entêtes de messages dans tout bon client de messagerie standard. L'IP émettrice  est:

 

email_entetes.JPG

 

Qu'en dit-on sur le Net ? le couperet tombe assez vite : 

 https://apps.db.ripe.net/search/query.html?searchtext=213.136.125.178&search%3AdoSearch=Search#resultsAnchor

 

Un scam 419, dont l'IP émettrice est la même... et qui date de juin 2012... la coïncidence est troublante, non ?

 

Et encore un signalement, parmi d'autres :

http://www.projecthoneypot.org/ip_213.136.125.178

 

 

 ip honeypot spam

 

NB : Pas de commentaire sur la pub à gauche, je n'y suis pour rien :(

 

Bref, continuons !

 

J'avais oublié : mais qu'elle a l'air jolie la "damoiselle" en photo ! Voyons cela d'un peu plus près....

 

Déjà, sa photo MSN... utilisons une petite banque de données d'images !

recherche_photo_msn.JPG

 

 Hum... bon voyons maintenant les autres photos qu'elle envoie (très facilement) via MSN :

 

recherche_photo1.JPG

 

  Bon, je crois que tout est clair.

 

La photo est en plus utilisée sur plusieurs sites, encore moins discret (et malin).

 

De même, grâce à Google cette fois-ci, dans sa fonction de recherche par image, je suis tombé sur :

https://www.google.com/search?tbs=sbi:AMhZZiseBWnNUan0Bu33pd9jnJl89jrg0VmCdRgBftuz42b_1D_153Mw6naW9jnRqOxvvywJGI3e309JjfmqZA9tbQzDOp34vorFDy9jdfQyUWhSC9S9F9jvYG44WexqcFZ-uNci9gUAF0aekjoVMJfqoXiTC7cW0o-51EMdZABw3OJBmDPkTcDhealO6nx5W9QJNJz36iK7wzxnKoC3lifk72fSg5fK0wOVzi37_1fyyvlpkl-u0FvcQs29-1HPFImZSf7PDkM41Ya3FME_1NTKuuND0lIx8DhdOGe6Dh5nKqP0OKw6WHST5hvOO25u0OsOcd6uRUBv8Q2hYpIqRl-Dj2Rild3Iyy7zdmMUb5_1esOXssT6qwUf5gibiBDRa-KOoWRwCyK0M5sjLaxreoyit-B9TGeMBnupaQEmphLf02zHAmr-NHj8qVyVCDTlnZblWQdakDIAa2Y6FWKQrfAyCUHJahTZFwLTnO-CBBu0sOLE6fGSKsJ4LXcGcU8MNT50V950YjnFUr0sd8OaNxFRwC0l1hLFyKEluetDbX9Qg1z_1ylGiVUc2evMNyPB3Lc5v7o0SzZqQIkebznZ1B5NnPItxw4-rM6Qtazmjh3m6XG-EkdPsmtQOf89EuzT1fQx_1Q_1HNOf5-9fKZO3cHsdg9UDK-8bmfmFv14el6FhL4pwlO6L9sznKRwagrR59GZQH7BgfDO8T80AM9Ipxqa4aurpPFi1SzPVbXcN5_1w_1sURkwOP6WNjmIj6kc75sS85m0-hKHFz5UM4ztyt9ukdlfnR_127mIUQfsVx0EedHN10xbVMURNU3q81poniLgoDLCn_1AH2tznrKo7mbFXTl-RJJNmTBkqO6R31izNfWcNwxKScWCCKws09YYhP1lMiaxctWUbKAZU6L7I9k67vgfdw5qNjL5PkWw4_1klCtU8-uurt95uGcwysPV3_1VgGPED15Fyl1A_1eJVeh5Py1YsqsR5Kh2Ow_1g5eA6OA17w6IoJySnpUvhdF_1JMGlcKuNMHlFqEUu5jeeC_1G-rnsCVak_1HvaZ4JBJLI1s099wzbxpCIkLfRc0QCEfGzivyRJ_1L3NWuhGXbPjs-Ecr0WIwhVjmUV3N6smFDZ0NoDCgZpgJXXpr1HbEiR7nVtQFyr5OFYTDLfBR0HZo9B1b4vxWUKJAaI3w8vsnP64aq9rW4jxMiuXbpfvuF-bimidUVwysdsDmH-rRA7D6lVnB8bKfYQZgKTkR6gB3A5fIZy_1gUiCjlPgqTBzh5Cjy80MUtVEmER1ufIOubcxXj_1rv6HzkzkI1hgmLm996cUJ7gtH4po52dJcKQt0Mjhd1sfgH3HOcQQJDqSi8pffy8d8PlGfM&num=10&hl=en&bih=934&biw=1680

 

Petit échantillon de résultats:

http://www.romancescam.com/forum/viewtopic.php?p=5708

Bref, le phénomène ne serait pas nouveau (et j'ai même de nouvelles photos en prime :( ).

 

Qu'oubliais-je... ha oui, le fin du fin. Avec le même site (TinEye), et une autre photo, je suis remonté à... ça : http://gallerydbase.com/mm/mm-lakergame/pichunter.html

Et là, je n'ose même pas mettre de capture d'écran ! On notera au passage qu'il ne s'agit vraisemblablement pas de la même personne...

 

 Bref, internautes, vous voilà prévenus.

 

Plus sérieusement :

- encore une raison de réfléchir au contrôle de l'accès aux réseaux sociaux en entreprise

- encore une raison de pousser des campagnes de sensibilisation

- encore une raison de contribuer à la sécurité globale en signalant ce qui est suspect !

 

Mise à jour, 17/07/12:

Merci à la PLCC d'avoir bien voulu prendre en compte mon signalement.

Partager cet article

Repost0

commentaires