Hello,
J'ai récemment eu le plaisir de donner mon avis sur certains aspects du Darkweb français, ça se passe dans L'Express. En plus y'a l'ami ninja Renaud qui est également présent ;-)
mercredi 25 août 2021
Par Cedric Pernet le mercredi 25 août 2021, 11:47
Hello,
J'ai récemment eu le plaisir de donner mon avis sur certains aspects du Darkweb français, ça se passe dans L'Express. En plus y'a l'ami ninja Renaud qui est également présent ;-)
vendredi 18 juin 2021
Par Cedric Pernet le vendredi 18 juin 2021, 11:18
Hi all,
I just published this quick one about some opportunistic fraudsters pretending to be the DarkSide threat. Enjoy :-)
vendredi 30 avril 2021
Par Cedric Pernet le vendredi 30 avril 2021, 14:43
jeudi 3 décembre 2020
Par Cedric Pernet le jeudi 3 décembre 2020, 17:12
Hi all,
I wrote this one in English but it definitely targets France :
Scammers Use Home Addresses of Targets in France
UPDATE - 2020/12/08 : An interview given in Le Parisien can be read here :
mardi 6 octobre 2020
Par Cedric Pernet le mardi 6 octobre 2020, 16:51
Hi all,
Here is my latest blog post about a clever BEC attack that targets a lot of different companies in France:
French companies Under Attack from Clever BEC Scam
Le Monde newspaper published a very nice French article about it here.
Also, the article from Le Figaro.
mardi 10 septembre 2019
Par Cedric Pernet le mardi 10 septembre 2019, 11:06
Hello,
J'ai récemment été interviewé par Libération à propos de RETADUP.
Le buzz du moment sur Retadup m'a laissé un peu aigri, parce que de nombreux articles écrits par des journalistes non méticuleux indiquent que c'est la société Avast qui a découvert Retadup en Mars 2019, alors que j'ai bloggé en compagnie de mes collègues sur le sujet à plusieurs reprises en 2017:
Ceci n'enlève rien bien sûr à l'excellent travail fourni par le C3N de la Gendarmerie Nationale, et la société Avast. Bravo à eux ! :-)
jeudi 13 juin 2019
Par Cedric Pernet le jeudi 13 juin 2019, 14:20
Hey there :-)
I just contributed to a new blog post about some cybercriminals using advanced tools to spread a cryptocurrency miner.
The full blog post is here.
Cheers !
vendredi 1 mars 2019
Par Cedric Pernet le vendredi 1 mars 2019, 10:50
Well here is a new blog post I published regarding cybercrime, this time mostly around Instagram.
While I have contributed to this blog post, I have to say it was mostly the awesome work of my talented colleague Jindrich. Great work mate ! :-)
vendredi 16 mars 2018
Par Cedric Pernet le vendredi 16 mars 2018, 10:03
So here's the second part of that serie on fraudulent domain monitoring and takedown.
Here.
Hope you'll enjoy :-)
lundi 5 mars 2018
Par Cedric Pernet le lundi 5 mars 2018, 11:39
I just published this one, on domain registration monitoring:
Next one should be published very soon :-)
Hope you'll enjoy :-)
mercredi 14 septembre 2016
Par Cedric Pernet le mercredi 14 septembre 2016, 15:31
jeudi 8 septembre 2016
Par Cedric Pernet le jeudi 8 septembre 2016, 15:11
New blog post being released, entitled "The French Dark Net Is Looking for Grammar Police". Hope you will enjoy it ;-)
The french cybercrime underground is definitely surprising... ;-)
lundi 5 septembre 2016
Par Cedric Pernet le lundi 5 septembre 2016, 16:40
Hello à tous/toutes,
Je vous avais promis un article MISC qui pour une fois ne parlerait pas d' APT, c'est chose faite dans MISC 87.
Vous y trouverez un article que j'ai écrit sur le phénomène du "Business e-mail compromise". J'espère qu'il vous plaira ! :-)
Je suis un peu sec pour de nouveaux sujets MISC en ce moment, si vous avez des idées n'hésitez pas à me solliciter ! ;-)
lundi 29 août 2016
Par Cedric Pernet le lundi 29 août 2016, 14:18
Last week one of my new blog post got released here. I hope you will enjoy it, especially the french ones interested in cybercrime ;-)
Cheers !
mardi 12 juillet 2016
Par Cedric Pernet le mardi 12 juillet 2016, 15:13
Hi all,
Please be advised I have published a new blog post entitled "French Dark Bets: Betting On Euro 2016"
French people in particular might be interested... ;-)
mercredi 3 juin 2015
Par Cedric Pernet le mercredi 3 juin 2015, 04:03
Here is another article I wrote, this time to try to raise awareness on some professional networks risks. Link is How to Spot Frauds on Professional Networks
Also, related, is this blog post I wrote: Reconnaissance via Professional Social Networks.
mardi 31 mars 2015
Par Cedric Pernet le mardi 31 mars 2015, 11:44
Here is the link to a new blog post I wrote with friends Kenney Lu and Dark Luo from Trend Micro.
It has several interesting aspects, in my mind:
Hope you will enjoy the read ! :-)
mercredi 26 novembre 2014
Par Cedric Pernet le mercredi 26 novembre 2014, 23:53
Je suis un grand amateur de pizza. C'est pour ça que je n'aime pas les pizzas de chez Domino's Pizza. Elles sont bien trop industrielles et noyées dans l'huile pour être mangeables. Par contre, j'adore la cybercriminalité et lorsque les deux se mêlent, je me sens obligé de blogger pour faire de la sensibilisation.
Ainsi donc, de méchants pirates ont compromis Domino's Pizza afin de récupérer la base de donnée de tous les clients de la société. Leur but était de faire du chantage à la société: soit vous nous payez, soit on publie la base de donnée sur Internet. Domino's n'a pas payé, ce qui est un comportement louable et responsable afin de ne pas encourager ce type de cybercriminalité, mais d'un autre côté, la nuisance pour leurs clients est très forte, nous allons y revenir.
Souhaitant me faire une idée plus précise du carnage, je me suis procuré cette base de données. A titre de rappel, je ne peux que me répéter: lorsqu'une base de donnée fuite sur Internet, elle ne disparait quasiment jamais. Elle réapparaitra toujours, à un moment où un autre.
Quoi qu'il en soit, l'affaire fait beaucoup rire, mais avez-vous sérieusement envisagé les conséquences de la distribution d'une telle liste à des cybercriminels ? Nous allons étudier quelques scénarios afin d'en prendre bonne mesure.
Note: Je ne sais pas comment a été constituée cette base de données. Néanmoins, étant donné que certaines entrées ne présentent qu'un numéro de téléphone, je suppose qu'elle contient à la fois des clients qui se font livrer et des clients qui se déplacent pour venir la chercher. Il y a exactement 592807 entrées uniques dans cette base.
Pour le particulier, cela signifie donc que des pirates disposent de:
Notez que le chiffrement du mot de passe est cependant facilement contournable, une attaque par brute-force révèlera les mots de passe des utilisateurs à un attaquant au besoin.
Que peuvent donc faire les attaquants avec ces données ?
- Envoyer des campagnes de spam de masse, mais un peu mieux faites qu'habituellement, parce qu'elles mentionneront peut-être votre adresse, votre numéro de téléphone, votre adresse physique...
- Couper la base de donnée selon des critères géographiques pour les revendre ou commencer à envoyer des e-mails ciblés, type "Nouvelle enseigne de pizza dans votre ville de xxxx, cliquez ici" ... Le clic mènera soit à un site essayant d'obtenir les informations de votre carte bancaire, soit à vous infecter avec un malware (qui lui aussi en voudra à votre carte bancaire ou à tous vos accès à des services en lignes par exemple: Paypal, banque, etc.) Les scénarios peuvent ici être très variables.
- Vendre la base de donnée à un/des concurrent(s) de Domino's Pizza ... Qui vous maileront bien sûr.
- Envoyer de faux e-mails Domino's Pizza pour vous demander confirmation de votre numéro de carte bancaire, ou pour obtenir d'autres informations, ou encore une fois vous infecter avec un malware.
- Vendre la base à des sociétés de démarchage téléphonique ...
- Appels téléphoniques malveillants : les attaquants peuvent se faire passer pour des fournisseurs d'accès Internet afin d'obtenir des informations: les utilisateurs disposant d'adresses mail en orange.fr par exemple peuvent être appelées, le fraudeur les mettant en confiance en montrant qu'il dispose d'informations sur eux, afin de mettre en place des scénarios divers et variés: obtention de numéro de carte bancaire, infection par malware (si vous ne voulez pas que la ligne Internet coupe, car nous avons des problèmes en ce moment, allez sur ce site...) etc.
- Utiliser le mot de passe fourni à Domino's pour voir si *éventuellement* il ne correspondrait pas à celui de la boite mail indiquée à Domino's Pizza. Beaucoup d'utilisateurs utilisent encore le même mot de passe partout, ce qui est évidemment déplorable en terme de sécurité informatique. Ainsi, l'attaquant pourrait utiliser à loisir votre boite mail pour envoyer du spam, lire vos e-mails, mener d'autres campagnes de cybercriminalité etc.
- Faire un tri dans les adresses mail pour cibler précisément des entreprises dont les employés ont utilisé une adresse mail "corporate". Il y a par exemple 69 adresses mails en .gouv.fr et de nombreuses sociétés clairement identifiables... Ces seules informations peuvent déja être sensibles et permettre à un attaquant de se lancer dans une attaque ciblant l'entreprise... Nous rejoignons ici le cyber espionnage ...
- Usurper votre identité afin de s'inscrire à d'autres services en ligne... A titre d'exemple, j'ai récemment constaté qu'un cybercriminel chinois utilisait les coordonnées réelles d'une innocente afin d'enregistrer des noms de domaines servant à des attaques ciblées (APT).
- Commander 20 pizzas avec vos informations et les faire livrer chez vous... Juste pour le plaisir de nuire. Etant donné que la commande est passée avec vos informations, Domino's exigera probablement le paiement...
Comme vous pouvez le constater, les possibilités sont nombreuses, et nous pourrions entrer dans un niveau de détail plus élevé pour mettre en place de nombreux autres scénarios non décrits précisément ici.
Que peut-on faire pour limiter les dégâts ?
- Imaginez toujours qu'un service auquel vous souscrivez peut être piraté un jour.
- Utilisez des mots de passes uniques. N'hésitez pas à utiliser des logiciels de conservation de mot de passe tels que Keepass.
- Ne donnez que les informations nécessaires (ne remplissez jamais les champs facultatifs).
- Si possible, utilisez une adresse mail unique pour chaque site sur lequel vous vous inscrivez.
- Soyez prudents lorsque vous recevez des e-mails, même lorsqu'ils semblent venir de fournisseurs de services auxquels vous avez souscrit.
- Si vraiment vous voulez manger une bonne pizza, allez chez Il Campionissimo :-)
jeudi 30 octobre 2014
Par Cedric Pernet le jeudi 30 octobre 2014, 08:15
Well, as you probably know, I am french. Some of my friends do not agree, and say that I am not a real french, because I do not like strong cheese, I do not like eating ducks (in any way), and all wine tastes the same for me, in opposite to beer. Also, I hate european football, but loooooove american football, my favorite team being the Patriots from New England.
On the other hand, I must admit I have a little kink for american football team's jerseys. I already have one from the Patriots, yet I wanted one from the Miami Dolphins.
So here I am, googling to find a new jersey at an attractive price, in french language.
Using a simple request like "jersey miami dolphins pas cher" which means "jersey miami dolphins cheap" in Google, I get the following as first result:
As you can see, the first results are from "Google Shopping" and do provide links to legitimate websites like nike.com.
Then, more interestingly, I get results from Google Image. The first image shown, on which my mouse pointer is, leads to a domain named maillot-foot-nfl-nba.com.
Following this link, I get a nice page from an online store showing me the jersey of my dreams:
At this point, there are several little details which should raise suspicion for anyone:
Clicking on some of the general pages of the web site is quite instructive. In the middle of the description for shipping, written in french, some spanish can be seen: "Aceptamos Visa, Mastercard, Paypal y tarjeta de crédito!" ...
There can only be one conclusion to all of this: this website is fraudulent, selling counterfeit products, and no one should buy products there.
Now if I come back to my Google research, and look at the Google image links on the right of the one I followed, the domains are:
By carefully watching these websites (except for forschungsinfo.de, which to clarify is a real site which has just hosted links to a fraudulent one, and the link has been removed), we could come to the same conclusion: counterfeit products are sold there.
Now one might think that these websites are build up by isolated fraudsters looking for easy money. The reality is a bit different, and that's why I am blogging, I wanted to bring some more insight to this kind of fraud and raise some awareness for people on Internet.
For starters, once again if you look carefully at all pages from such a website, you can find something more interesting than spelling mistakes: links to other websites.
Reading the "shipping info" from boutiquesprofr.com for example, the first line mentions that "sacmiumiu.com offre la livraison gratuite" , which means that "sacmiumiu.com offers free shipping".
Why the hell is a website called sacmiumiu.com mentioned in the shipping info of boutiquesprofr.com (which by the way means "prostorefr.com") ?
Well, the reason for that is that fraudsters do not build a single website to sell counterfeit products. They do build LOADS of different websites. You might think it takes a lot of time to do it, but it takes less than one or two hours to do. These fraudsters do use websites templates, which they just slightly modify from one site to the other. From the single sentence found on boutiquesprofr.com, we can expect it to use almost the same template as sacmiumiu.com.
sacmiumiu.com does not exist anymore, yet just by googling this name you would find interesting stuff : ads for it in guestbooks showing links to other counterfeit products websites, etc... Looking for it on archive.org, a website which shows past versions of websites, you would even find that the website has indeed been transfered by judge decision to Louis Vuitton because it was selling counterfeit products.
So, with few googling and wise use of archive.org, we already found out that our guys from "boutiquesprofr.com" were somehow connected to "sacmiumiu.com".
What else can be found ?
Let's go back to the first website I found, maillot-foot-nfl-nba.com.
At the top left part of the website, a logo from the company "NEW ERA" is visible. Let's be a bit clever and use it to find other websites which contain the exact same logo. To do that, we can save the logo from maillot-foot-nfl-nba.com and then submit it to a Google Image search. By doing that, Google will show us all referenced websites which contain the same picture :
Note: what you do not see in the screenshot is the fact that Google Image offers results showing images which are "close" to the image you submit. We need to focus on the exact same image, to avoid false positives. Moreover, if the fraudsters took the image from a legitimate website and did not modify it, we will get false positives we need to remove from the analysis.
Once again, the results are quite interesting: we easily fall on several fake products sellers.
This provides us a very easy method to group fake websites.
Ok, what do we know now ? We know that there are hundreds of websites selling fake products, using more or less the same templates and techniques.
How about having a look at the people who register these domain names ?
Let's have a look at the Whois information for our favorite website, maillot-foot-nfl-nba.com.
Registrant Name: mingsheng zheng Registrant Organization: zhengxiansheng Registrant Street: haikoulu10 Registrant City: haikou Registrant State/Province: hainan Registrant Postal Code: 570100 Registrant Country: CN Registrant Phone: +86.13800000000 Registrant Phone Ext: Registrant Fax: +86.13800000000 Registrant Fax Ext: Registrant Email: registrar@mail.zgsj.com Admin Name: mingsheng zheng Admin Organization: Admin Street: haikoulu10 Admin City: haikou Admin State/Province: hainan Admin Postal Code: 570100 Admin Country: CN Admin Phone: +86.13800000000 Admin Phone Ext: Admin Fax: +86.13800000000 Admin Fax Ext: Admin Email: capsshopnet@gmail.com
Once again, this really does not look like Whois information a legitimate merchant would use: the phone numbers seems to be fake, and the e-mail address is on gmail.com, yet this is very interesting for us in terms of investigation.
So, by doing some reverse whois researches, we can find 23 domains, additionally to maillot-foot-nfl-nba.com, which have been registered by capsshopnet@gmail.com :
Oh my, our friend "capsshopnet" has counterfeit stuff in french, spanish, and german, what a great linguist, this might explain all the spelling mistakes on these websites ;-)
What about the hosting ? Well, maillot-foot-nfl-nba.com is currently hosted on 223.26.62.200, which belongs to:
inetnum: 223.26.62.0 - 223.26.62.255 netname: SUN-HK descr: Sun Network - DataCenter Service TRANS ASIA CENTER, KWAI CHUNG country: HK admin-c: DA179-AP
Let's look at some Passive DNS information. Which other domains have lead to this precise IP address currently or in the past ?
The results are other counterfeit products websites (except for kkk345.com which is about pornographic stuff)
kkk345.com www.kkk345.com www.gorras-obey.com gorrasbaratas.com www.gorrasbaratas.com maillot-pascher.com www.maillot-pascher.com zapatos-baratas.com www.zapatos-baratas.com www.maillot-foot-nfl-nba.com www.kkk3.org
Now let me please represent all this data in a structured form (click to enlarge):
I will end this blog post here. I just wanted people to be a bit aware that the underground of counterfeit products is huge, and that few minutes of investigation can lead to the discovery of a complex web of Internet websites run by fraudsters.
One might wonder about the number of people involved in that kind of fraud. There are probably several people to register the websites, several people to build the content (and we can be pretty sure some other people are selling the web pages templates), to handle the orders, to manufacture the products (probably hundreds/thousands of people here), etc.
I stopped my investigation at this point, because it was done on a rainy night at home. A lot is uncovered here: I did not look for every domain whois, I did not look for all the hosting data and IP ranges, I did not really search for any real person attribution.
By digging more on all these data, we could probably find much more fake products websites and persons involved, but once again, my goal here was just to raise awareness on a kind of fraud and describe it a bit.
So what have we learned here ?
Thank you for your reading, this was some kind of fun post blog I've done in a hurry last night. See you soon ! :-)
« billets précédents - page 1 de 3