Je vais rédiger cet article en Français, vu que le message et la cible sont francophones... :)
J'ai reçu un message, et j'avoue que moi le premier j'ai failli me faire prendre. Heureusement, je me suis souvenu que j'avais résilié il y a quelques mois déjà mon abonnement Orange (France Telecom). Il s'agit d'un message indiquant que ma soit-disant banque a refusé un prélèvement automatique pour France Telecom.
Le texte est plutôt bien fait, mais il manque les caractères spéciaux (surtout les accents) :
|
Mozilla Shredder bloque le "contenu distant" des messages. Il propose à l'utilisateur de toujours valider le téléchargement de ce contenu, selon l'adresse email indiquée en émetteur. Il s'agit ici de :
service@Securecode.eu
Ce qui est certainement assez tentant pour un utilisateur lambda.
La vraie adresse d'expédition du courriel est pourtant : envelope-from <root@s15385563.onlinehome-server.info>
Donc là-dessus, Thunderbird (Shredder) induit l'utilisateur en erreur. Il ne prend pas le bon champ dans le courriel indésirable, et du coup, affiche une adresse "choisie" par les auteurs du message, pour induire les utilisateurs en erreur.
Au niveau du filtrage du courriel (qui aurait dû avoir lieu) :
- filtrage Orange : inefficient
- filtrage SpamAssassin : inefficient
- filtrage Razor, DCC, XBL : inefficient
- filtrage par Thunderbird (Bayésien principalement) : inefficient.
Concernant la machine émettrice du message : s15385563.onlinehome-server.info un joli message nous accueille quand on accède à la page.
Pour le FQDN de l'émetteur du message, voici ce que donnent quelques tests :
- Netcraft : à peine un peu de rouge dans la barre d'outil
- trustedsource.org : risque minimum, catégorie "internet services"
- senderbase.org : aucune alerte pour l'URL. Bonne réputation pour l'adresse IP ! (87.106.216.161)
- dnsbl.info : aucun listage de l'adresse IP
- robtex.com : la zone onlinehome-server.info a 2 signalements : postmaster.rfc-ignorant.org et abuse.rfc-ignorant.org
J'apprends grâce à Trustedsource que les serveurs de nom sont chez 1and1(donc le domaine malveillant aussi). Tiens donc, une vieille connaissance pour ceux qui épluchent le web pour ce qui est VX.
Grâce à domaincrawler.com, j'apprends (ou confirme) que l'adresse IP est allemande.
Dans le code source du message, il y a un lien vers une image :
http://hocusadabra.com/upload/userfiles/VerifiedMasterVisa.jpg
C'est une "vraie" image de Mastercard SecureCode , toujours pour induire l'utilisateur en erreur.
Si l'on clique sur le lien inclus dans le courriel, voici la vraie URL qui s'affiche dans le navigateur :
http://cinedis. famfmalaga.org/tmp/login-vbv/logine745514566/
On notera les belles fautes de frappe : "Veuillez Remplire l'au dessous de la forme", qui pourraient peut être alerter un utilisateur soucieux de parler en bon français...
Au niveau des navigateurs :
- Opera : aucune alerte
- Internet Explorer 8 : aucune alerte
- Chrome : aucune alerte
- Firefox 64 (Namoroka) : aucune alerte
- Netcraft : aucune alerte
- Safari : aucune alerte
Donc en résumé... aucune alerte !
Ce que je trouve également intéressant, c'est le code source de cette page : entièrement obfusqué.
D'autre part, en remplissant le formulaire et en cliquant sur "Valider", les sessions HTTP révèlent que la machine distante, plus que probablement compromise, tourne avec :
Server Apache/2.2.3 (CentOS)
X-Powered-By PHP/5.1.6
On appréciera la mention "service vérifié par Visa"..
Je parierais que les failles PHP (non corrigées dans cette vieille version) ont pu faciliter l'intrusion sur le serveur.