Facture du mobile - Phishing se faisant passer pour Free

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

Facture du mobile - Phishing se faisant passer pour Free

Messagede pierre » 24 Nov 2016, 11:09

Facture du mobile - Phishing se faisant passer pour Free

Titre (Subject) : "Facture du Mobile" suivi de votre nom prénom
Expéditeur apparent (From) : "noreply_Free.fr"

Leur problème de jeu de caractères

Cher(e) abonné(e),

Veuillez trouver en pièce jointe votre facture mobile
du 24-11-2016
Sincères salutations.

L’équipe Free

--
Free Mobile -


Un pdf joint.

Le PDF, après analyse avec VirusTotal :

Image

Survol, à la souris, du lien prétendu " ESPACE ABONNE ". Il envoie sur
Code: Tout sélectionner
http://audreybattini.com/images/


Direction Quttera - Analyse d'un site et analyse du site audreybattini.com

Image

Image

Conclusion : Un site personnel (avec un CV) hacké par un cybercriminel. Dans le répertoire /images/, une redirection vers le site de phishing.

Firefox bloque la redirection et, si on passe outre, Kaspersky bloque l'accès

Image

Je passe outre le blocage de Kaspersky pour aller sur cette page (pour une autre raison : test de Bitdefender TrafficLight)

Image

Bitdefender TrafficLight ne voit rien. J'ai reçu cette attaque en phishing cette nuit à 00h51 et il est 10h00. Quttera détecte bien (à ma demande) et Kaspersky aussi.
Malwarebytes ne le voit pas encore : http://hosts-file.net/default.asp?s=audreybattini.com
Sur VirusTotal, ce site avait été analysé pour la dernière fois en février 2016. Propre. Aujourd'hui, personne ne le détecte sauf Quttera.
Norton Safe Web Lite On line détecte le problème.
Google Transparence (anciennement Google Safe Browsing) détecte le problème
Yandex Safe Browsing ne voit rien.
AVG ThreatLabs ne voit rien ( http://www.avgthreatlabs.com/fr-fr/webs ... ttini.com/ )
L'agrégateur http://www.blacklistalert.org/ ne trouve pas le domaine dans les nombreuses blacklists qu'il consulte (autres agrégateurs de blacklists : BlackList.


Image

Utilisez les outils de Web-réputation d'un site

Courriel envoyé à audrey battini pour la prévenir
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 29663
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Facture du mobile - Phishing se faisant passer pour Free

Messagede Silure » 24 Nov 2016, 14:31

Bonjour Pierre.


Ces sa....pards deviennent de plus en plus audacieux.

Je suis redirigé sur http://www.asqdecolombia.com maintenant. Firefox n'a rien bloqué, sans doute à cause de cette nouvelle redirection. Je n'ai pas d'antivirus sous Linux. L'ancienne (mycricket....) n'est plus redirigée par les serveurs DNS et est donc introuvable.

J'espère que cette personne saura contrer ce piratage.

D'où l'intérêt de ne jamais cliquer sans réfléchir; ce que néglige ou bien même ignore la majeure partie des utilisateurs.

@+
Image
Linux user #546171 Config <=
Avatar de l’utilisateur
Silure
Modérateur
 
Messages: 1159
Inscription: 15 Juil 2005, 14:10
Localisation: Aquitaine

Re: Facture du mobile - Phishing se faisant passer pour Free

Messagede pierre » 24 Nov 2016, 15:05

Bonjour Silure,

La grande difficulté avec les opérations de phishing est que ce sont des opérations " coup de poing ". Elles durent quelques heures (1 à 4 heures) puis se déplacent. Inscrire une URL de phishing identifiée dans une liste noire, tel qu'une RBL (Real Time Block Lists) est comme pisser dans un violon. C'est le tonneau des Danaïdes.

Acheter un nom de domaine ne coûte que 10 à 12 € par an.
Choisir un nom de domaine plein de chiffres et lettres permet de créer un nombre illimité de noms de domaines (on n'est pas limité au nombre de mots réels d'un vocabulaire).

Il faudrait, au niveau des DNS, surveiller les noms de domaines aux noms improbables et, s'ils reçoivent plein de liaisons entrantes d'un seul coup alors qu'ils n'ont qu'une seule page, les sortir des DNS (stopper immédiatement la résolution des noms de domaine et bloquer l'IP), et enquêter. C'est de la censure et du "délit de salle gueule", mais "Ma liberté s'arrête où elle n'enfreint pas celle des autres" ou "Ma liberté commence là ou celle de l'autre s'arrête". Cela doit être respecté par tous. Un monde sans limites n'existe pas - c'est le contrat social. Un cybercriminel, qui exerce une liberté sans limites, qui n'a pas conscience de la liberté des autres, ou qui en a conscience et se fait un plaisir et un devoir de la violer, doit être contraint. Le problème est celui de le faire plus ou moins avant le délit - prévenir plutôt que guérir, d'autant que dans ces cas, avec les zones de non-droit et le fait que c'est l'utilisateur qui est fautif (manque de vigilance), il n'y a aucune chance de poursuivre après les faits.

On en arriverait à : pour être libre, il faut restreindre la liberté !

Où sont les solutions ?
Image
__________________
Pierre (aka Terdef)
Appel à donation - Le site a besoin de votre aide

Comment je me fais avoir/infecter ? - Protéger navigateur, navigation et vie privée - Bloquer publicité et surveillance sur le Web
Accélérer Windows - Accélérer Internet - Décontamination - Installer Malwarebytes - Forums d'entraide

Il ne sera répondu à aucune demande de dépannage posée en MP (Messagerie Privée). Les demandes doivent être publiques et les réponses doivent profiter au public.
Image
Avatar de l’utilisateur
pierre
 
Messages: 29663
Inscription: 20 Mai 2002, 23:01
Localisation: Ici et maintenant

Re: Facture du mobile - Phishing se faisant passer pour Free

Messagede shl » 24 Nov 2016, 19:05

Bonsoir,

Pour ne rien arranger, le vrai Free envoie réellement des factures par mail, sous forme de PDF en pièce jointe. Je trouve cette pratique bizarre : c'est indéniablement plus pratique que de se connecter à son espace abonné, mais on se tue à dire aux gens de ne jamais ouvrir des pièces jointes de FAI/banque/Yahoo/Microsoft...

Il y a un seul élément qui permet d'identifier un vrai mail de Free : il mentionne votre numéro de téléphone dans le mail, une info que les scammeurs ne peuvent (en principe) pas connaître.
La vie privée n'est pas réservée à ceux qui ont des choses à se reprocher.
Ma config détaillée
Assiste.com
Avatar de l’utilisateur
shl
Modérateur
 
Messages: 3648
Inscription: 30 Oct 2004, 23:06
Localisation: Suivez mon regard...


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 34 invités