mercredi 14 septembre 2016
Par Cedric Pernet le mercredi 14 septembre 2016, 15:31
jeudi 8 septembre 2016
Par Cedric Pernet le jeudi 8 septembre 2016, 15:11
New blog post being released, entitled "The French Dark Net Is Looking for Grammar Police". Hope you will enjoy it ;-)
The french cybercrime underground is definitely surprising... ;-)
lundi 5 septembre 2016
Par Cedric Pernet le lundi 5 septembre 2016, 16:40
Hello à tous/toutes,
Je vous avais promis un article MISC qui pour une fois ne parlerait pas d' APT, c'est chose faite dans MISC 87.
Vous y trouverez un article que j'ai écrit sur le phénomène du "Business e-mail compromise". J'espère qu'il vous plaira ! :-)
Je suis un peu sec pour de nouveaux sujets MISC en ce moment, si vous avez des idées n'hésitez pas à me solliciter ! ;-)
lundi 29 août 2016
Par Cedric Pernet le lundi 29 août 2016, 14:18
Last week one of my new blog post got released here. I hope you will enjoy it, especially the french ones interested in cybercrime ;-)
Cheers !
mardi 12 juillet 2016
Par Cedric Pernet le mardi 12 juillet 2016, 15:13
Hi all,
Please be advised I have published a new blog post entitled "French Dark Bets: Betting On Euro 2016"
French people in particular might be interested... ;-)
mercredi 3 juin 2015
Par Cedric Pernet le mercredi 3 juin 2015, 04:03
Here is another article I wrote, this time to try to raise awareness on some professional networks risks. Link is How to Spot Frauds on Professional Networks
Also, related, is this blog post I wrote: Reconnaissance via Professional Social Networks.
mardi 31 mars 2015
Par Cedric Pernet le mardi 31 mars 2015, 11:44
Here is the link to a new blog post I wrote with friends Kenney Lu and Dark Luo from Trend Micro.
It has several interesting aspects, in my mind:
Hope you will enjoy the read ! :-)
mercredi 26 novembre 2014
Par Cedric Pernet le mercredi 26 novembre 2014, 23:53
Je suis un grand amateur de pizza. C'est pour ça que je n'aime pas les pizzas de chez Domino's Pizza. Elles sont bien trop industrielles et noyées dans l'huile pour être mangeables. Par contre, j'adore la cybercriminalité et lorsque les deux se mêlent, je me sens obligé de blogger pour faire de la sensibilisation.
Ainsi donc, de méchants pirates ont compromis Domino's Pizza afin de récupérer la base de donnée de tous les clients de la société. Leur but était de faire du chantage à la société: soit vous nous payez, soit on publie la base de donnée sur Internet. Domino's n'a pas payé, ce qui est un comportement louable et responsable afin de ne pas encourager ce type de cybercriminalité, mais d'un autre côté, la nuisance pour leurs clients est très forte, nous allons y revenir.
Souhaitant me faire une idée plus précise du carnage, je me suis procuré cette base de données. A titre de rappel, je ne peux que me répéter: lorsqu'une base de donnée fuite sur Internet, elle ne disparait quasiment jamais. Elle réapparaitra toujours, à un moment où un autre.
Quoi qu'il en soit, l'affaire fait beaucoup rire, mais avez-vous sérieusement envisagé les conséquences de la distribution d'une telle liste à des cybercriminels ? Nous allons étudier quelques scénarios afin d'en prendre bonne mesure.
Note: Je ne sais pas comment a été constituée cette base de données. Néanmoins, étant donné que certaines entrées ne présentent qu'un numéro de téléphone, je suppose qu'elle contient à la fois des clients qui se font livrer et des clients qui se déplacent pour venir la chercher. Il y a exactement 592807 entrées uniques dans cette base.
Pour le particulier, cela signifie donc que des pirates disposent de:
Notez que le chiffrement du mot de passe est cependant facilement contournable, une attaque par brute-force révèlera les mots de passe des utilisateurs à un attaquant au besoin.
Que peuvent donc faire les attaquants avec ces données ?
- Envoyer des campagnes de spam de masse, mais un peu mieux faites qu'habituellement, parce qu'elles mentionneront peut-être votre adresse, votre numéro de téléphone, votre adresse physique...
- Couper la base de donnée selon des critères géographiques pour les revendre ou commencer à envoyer des e-mails ciblés, type "Nouvelle enseigne de pizza dans votre ville de xxxx, cliquez ici" ... Le clic mènera soit à un site essayant d'obtenir les informations de votre carte bancaire, soit à vous infecter avec un malware (qui lui aussi en voudra à votre carte bancaire ou à tous vos accès à des services en lignes par exemple: Paypal, banque, etc.) Les scénarios peuvent ici être très variables.
- Vendre la base de donnée à un/des concurrent(s) de Domino's Pizza ... Qui vous maileront bien sûr.
- Envoyer de faux e-mails Domino's Pizza pour vous demander confirmation de votre numéro de carte bancaire, ou pour obtenir d'autres informations, ou encore une fois vous infecter avec un malware.
- Vendre la base à des sociétés de démarchage téléphonique ...
- Appels téléphoniques malveillants : les attaquants peuvent se faire passer pour des fournisseurs d'accès Internet afin d'obtenir des informations: les utilisateurs disposant d'adresses mail en orange.fr par exemple peuvent être appelées, le fraudeur les mettant en confiance en montrant qu'il dispose d'informations sur eux, afin de mettre en place des scénarios divers et variés: obtention de numéro de carte bancaire, infection par malware (si vous ne voulez pas que la ligne Internet coupe, car nous avons des problèmes en ce moment, allez sur ce site...) etc.
- Utiliser le mot de passe fourni à Domino's pour voir si *éventuellement* il ne correspondrait pas à celui de la boite mail indiquée à Domino's Pizza. Beaucoup d'utilisateurs utilisent encore le même mot de passe partout, ce qui est évidemment déplorable en terme de sécurité informatique. Ainsi, l'attaquant pourrait utiliser à loisir votre boite mail pour envoyer du spam, lire vos e-mails, mener d'autres campagnes de cybercriminalité etc.
- Faire un tri dans les adresses mail pour cibler précisément des entreprises dont les employés ont utilisé une adresse mail "corporate". Il y a par exemple 69 adresses mails en .gouv.fr et de nombreuses sociétés clairement identifiables... Ces seules informations peuvent déja être sensibles et permettre à un attaquant de se lancer dans une attaque ciblant l'entreprise... Nous rejoignons ici le cyber espionnage ...
- Usurper votre identité afin de s'inscrire à d'autres services en ligne... A titre d'exemple, j'ai récemment constaté qu'un cybercriminel chinois utilisait les coordonnées réelles d'une innocente afin d'enregistrer des noms de domaines servant à des attaques ciblées (APT).
- Commander 20 pizzas avec vos informations et les faire livrer chez vous... Juste pour le plaisir de nuire. Etant donné que la commande est passée avec vos informations, Domino's exigera probablement le paiement...
Comme vous pouvez le constater, les possibilités sont nombreuses, et nous pourrions entrer dans un niveau de détail plus élevé pour mettre en place de nombreux autres scénarios non décrits précisément ici.
Que peut-on faire pour limiter les dégâts ?
- Imaginez toujours qu'un service auquel vous souscrivez peut être piraté un jour.
- Utilisez des mots de passes uniques. N'hésitez pas à utiliser des logiciels de conservation de mot de passe tels que Keepass.
- Ne donnez que les informations nécessaires (ne remplissez jamais les champs facultatifs).
- Si possible, utilisez une adresse mail unique pour chaque site sur lequel vous vous inscrivez.
- Soyez prudents lorsque vous recevez des e-mails, même lorsqu'ils semblent venir de fournisseurs de services auxquels vous avez souscrit.
- Si vraiment vous voulez manger une bonne pizza, allez chez Il Campionissimo :-)
jeudi 30 octobre 2014
Par Cedric Pernet le jeudi 30 octobre 2014, 08:15
Well, as you probably know, I am french. Some of my friends do not agree, and say that I am not a real french, because I do not like strong cheese, I do not like eating ducks (in any way), and all wine tastes the same for me, in opposite to beer. Also, I hate european football, but loooooove american football, my favorite team being the Patriots from New England.
On the other hand, I must admit I have a little kink for american football team's jerseys. I already have one from the Patriots, yet I wanted one from the Miami Dolphins.
So here I am, googling to find a new jersey at an attractive price, in french language.
Using a simple request like "jersey miami dolphins pas cher" which means "jersey miami dolphins cheap" in Google, I get the following as first result:
As you can see, the first results are from "Google Shopping" and do provide links to legitimate websites like nike.com.
Then, more interestingly, I get results from Google Image. The first image shown, on which my mouse pointer is, leads to a domain named maillot-foot-nfl-nba.com.
Following this link, I get a nice page from an online store showing me the jersey of my dreams:
At this point, there are several little details which should raise suspicion for anyone:
Clicking on some of the general pages of the web site is quite instructive. In the middle of the description for shipping, written in french, some spanish can be seen: "Aceptamos Visa, Mastercard, Paypal y tarjeta de crédito!" ...
There can only be one conclusion to all of this: this website is fraudulent, selling counterfeit products, and no one should buy products there.
Now if I come back to my Google research, and look at the Google image links on the right of the one I followed, the domains are:
By carefully watching these websites (except for forschungsinfo.de, which to clarify is a real site which has just hosted links to a fraudulent one, and the link has been removed), we could come to the same conclusion: counterfeit products are sold there.
Now one might think that these websites are build up by isolated fraudsters looking for easy money. The reality is a bit different, and that's why I am blogging, I wanted to bring some more insight to this kind of fraud and raise some awareness for people on Internet.
For starters, once again if you look carefully at all pages from such a website, you can find something more interesting than spelling mistakes: links to other websites.
Reading the "shipping info" from boutiquesprofr.com for example, the first line mentions that "sacmiumiu.com offre la livraison gratuite" , which means that "sacmiumiu.com offers free shipping".
Why the hell is a website called sacmiumiu.com mentioned in the shipping info of boutiquesprofr.com (which by the way means "prostorefr.com") ?
Well, the reason for that is that fraudsters do not build a single website to sell counterfeit products. They do build LOADS of different websites. You might think it takes a lot of time to do it, but it takes less than one or two hours to do. These fraudsters do use websites templates, which they just slightly modify from one site to the other. From the single sentence found on boutiquesprofr.com, we can expect it to use almost the same template as sacmiumiu.com.
sacmiumiu.com does not exist anymore, yet just by googling this name you would find interesting stuff : ads for it in guestbooks showing links to other counterfeit products websites, etc... Looking for it on archive.org, a website which shows past versions of websites, you would even find that the website has indeed been transfered by judge decision to Louis Vuitton because it was selling counterfeit products.
So, with few googling and wise use of archive.org, we already found out that our guys from "boutiquesprofr.com" were somehow connected to "sacmiumiu.com".
What else can be found ?
Let's go back to the first website I found, maillot-foot-nfl-nba.com.
At the top left part of the website, a logo from the company "NEW ERA" is visible. Let's be a bit clever and use it to find other websites which contain the exact same logo. To do that, we can save the logo from maillot-foot-nfl-nba.com and then submit it to a Google Image search. By doing that, Google will show us all referenced websites which contain the same picture :
Note: what you do not see in the screenshot is the fact that Google Image offers results showing images which are "close" to the image you submit. We need to focus on the exact same image, to avoid false positives. Moreover, if the fraudsters took the image from a legitimate website and did not modify it, we will get false positives we need to remove from the analysis.
Once again, the results are quite interesting: we easily fall on several fake products sellers.
This provides us a very easy method to group fake websites.
Ok, what do we know now ? We know that there are hundreds of websites selling fake products, using more or less the same templates and techniques.
How about having a look at the people who register these domain names ?
Let's have a look at the Whois information for our favorite website, maillot-foot-nfl-nba.com.
Registrant Name: mingsheng zheng Registrant Organization: zhengxiansheng Registrant Street: haikoulu10 Registrant City: haikou Registrant State/Province: hainan Registrant Postal Code: 570100 Registrant Country: CN Registrant Phone: +86.13800000000 Registrant Phone Ext: Registrant Fax: +86.13800000000 Registrant Fax Ext: Registrant Email: registrar@mail.zgsj.com Admin Name: mingsheng zheng Admin Organization: Admin Street: haikoulu10 Admin City: haikou Admin State/Province: hainan Admin Postal Code: 570100 Admin Country: CN Admin Phone: +86.13800000000 Admin Phone Ext: Admin Fax: +86.13800000000 Admin Fax Ext: Admin Email: capsshopnet@gmail.com
Once again, this really does not look like Whois information a legitimate merchant would use: the phone numbers seems to be fake, and the e-mail address is on gmail.com, yet this is very interesting for us in terms of investigation.
So, by doing some reverse whois researches, we can find 23 domains, additionally to maillot-foot-nfl-nba.com, which have been registered by capsshopnet@gmail.com :
Oh my, our friend "capsshopnet" has counterfeit stuff in french, spanish, and german, what a great linguist, this might explain all the spelling mistakes on these websites ;-)
What about the hosting ? Well, maillot-foot-nfl-nba.com is currently hosted on 223.26.62.200, which belongs to:
inetnum: 223.26.62.0 - 223.26.62.255
netname: SUN-HK
descr: Sun Network - DataCenter Service
TRANS ASIA CENTER, KWAI CHUNG
country: HK
admin-c: DA179-AP
Let's look at some Passive DNS information. Which other domains have lead to this precise IP address currently or in the past ?
The results are other counterfeit products websites (except for kkk345.com which is about pornographic stuff)
kkk345.com www.kkk345.com www.gorras-obey.com gorrasbaratas.com www.gorrasbaratas.com maillot-pascher.com www.maillot-pascher.com zapatos-baratas.com www.zapatos-baratas.com www.maillot-foot-nfl-nba.com www.kkk3.org
Now let me please represent all this data in a structured form (click to enlarge):
I will end this blog post here. I just wanted people to be a bit aware that the underground of counterfeit products is huge, and that few minutes of investigation can lead to the discovery of a complex web of Internet websites run by fraudsters.
One might wonder about the number of people involved in that kind of fraud. There are probably several people to register the websites, several people to build the content (and we can be pretty sure some other people are selling the web pages templates), to handle the orders, to manufacture the products (probably hundreds/thousands of people here), etc.
I stopped my investigation at this point, because it was done on a rainy night at home. A lot is uncovered here: I did not look for every domain whois, I did not look for all the hosting data and IP ranges, I did not really search for any real person attribution.
By digging more on all these data, we could probably find much more fake products websites and persons involved, but once again, my goal here was just to raise awareness on a kind of fraud and describe it a bit.
So what have we learned here ?
Thank you for your reading, this was some kind of fun post blog I've done in a hurry last night. See you soon ! :-)
lundi 12 septembre 2011
Par Cedric Pernet le lundi 12 septembre 2011, 13:13
Le typosquatting de noms de domaines consiste à acheter des noms de domaines proches de noms de domaines existants, souvent d'entreprises.
La plupart du temps, ce dépôt de noms de domaines a pour but de nuire à l'image d'une entreprise en y plaçant un contenu diffamant ou portant atteinte à son image publique.
D'autre fois par contre, le typosquatting est l'oeuvre d'une autre catégorie de cybercriminels poursuivant des buts plus malveillants :
En gros, l'idée est de typosquatter des noms de domaines de certaines entreprises, dans le but de collecter tous les e-mails envoyés par erreur vers leur domaine. Un "Doppelganger Domain" est un nom de domaine frauduleux, écrit de la même façon qu'un nom de domaine légitime, mais sans le "." entre un sous-domaine et le domaine.
Un peu confus ? Un exemple :
1. L'entreprise OnestLesMeilleurs dispose d'un nom de domaine onestlesmeilleurs.com (qui n'existe pas au moment de la rédaction du présent article). Leur site Internet se trouve sur fr.onestlesmeilleurs.com.
2. Un fraudeur enregistre le nom de domaine fronestlesmeilleurs.com : notez qu'il manque le "." entre le nom de domaine et le sous-domaine, faisant ainsi la différence avec le site légitime.
3. Le fraudeur configure un serveur mail permettant de récupérer tous les mails ("catch all") envoyés vers fronestlesmeilleurs.com
4. Le fraudeur attend, et voit des mails arriver : il s'agit de mails de gens ayant oublié de taper le "." dans le nom de domaine, et envoyant tout type d'information. Il peut s'agir de données confidentielles à destination d'un employé de la société ... Ou de mails contenant des références de cartes bancaires, etc.
Le fraudeur peut même se faire passer pour le destinataire et répondre à l'émetteur, sans que ce dernier n'y fasse attention : le vol de données/la fuite d'information se poursuit...
Les chercheurs ayant rédigé l'étude "Doppelganger Domains" ont voulu tester le volume d'information pouvant être collectée par ce biais, et l'impact éventuel sur des entreprises du "Fortune 500".
Le résultat est plutôt édifiant : sur 500 sociétés, 151 sont vulnérables à une telle attaque, soit près de 30%.
Les chercheurs ont enregistré 30 "doppelganger domains" et ont observé ce qui se passait pendant 6 mois. Ils ont ainsi collecté près de 120 000 mails, représentant près de 20 gigabytes de données.
A noter que pendant ces 6 mois, une seule société a mené une action contre le doppelganger domain qui l'impactait. (probablement par une récupération de nom de domaine usurpant la marque...)
Comment protéger son entreprise de ce type d'attaques ?
jeudi 24 février 2011
Par Cedric Pernet le jeudi 24 février 2011, 14:14
Les phishing FREE sont monnaie courante, mais je n'avais pas fait attention au message de remerciement fourni par les fraudeurs lorsque le processus de soumission de données arrive à son terme :
Décidément, les fraudeurs ont de l'humour... (et merci @Jipe_ pour l'info ;-) )
jeudi 24 juin 2010
Par Cedric Pernet le jeudi 24 juin 2010, 13:01
Je n'aime pas trop certains termes français relatifs à la cybercriminalité. Parmi eux, le "hameçonnage". Je me permettrais donc de parler de "phishing", les puristes de la langue française m'excuseront.
Je ne vais pas revenir en détails sur ce qu'est le phishing. Le principe est simple : des cybercriminels créent des fausses pages web imitant une cible particulière (banque, fournisseur d'accès Internet, etc.) et envoient des milliers d' e-mails au petit bonheur la chance en se faisant passer pour la cible. Prenons l'exemple d'une banque : les fraudeurs se font passer pour la banque, et sous un prétexte quelconque (souvent une mise à jour de sécurité) ils demandent à l'internaute de cliquer sur le lien "qui rétablira tout". Un internaute crédule ira donc se connecter sur la page, qui est une fausse page imitant sa banque, et entrera ses identifiants et mots de passe bancaires... Il ne reste plus pour les fraudeurs qu'à se connecter à la place de l'internaute, sur sa véritable banque, et à profiter du compte bancaire.
Seulement, il y a un petit hic : ces fraudeurs sont localisés ailleurs dans le monde, en Ukraine ou en Roumanie par exemple. Sachant que la plupart des banques françaises n'autorisent pas de virements bancaires directs vers l'étranger, les pirates ont dû trouver une parade. Ils ont contourné le problème en lançant des campagnes de recrutement de "mules". L'idée était de créer de fausses entreprises (souvent avec site web) qui sous prétexte de travailler dans le secteur financier mais pas dans votre pays vous proposent de travailler pour eux de chez vous. Le principe et les slogans sont accrocheurs, du style: "gagnez jusqu'à 5000 Euros par mois, en travaillant de chez vous, moins de 3 heures par semaine."
En fait, les fraudeurs allaient se connecter sur les comptes des victimes "phishées", et effectuaient des virements bancaires vers les mules. Ces mules devaient ensuite renvoyer la somme amputée de 3 à 10% vers une adresse étrangère (Ukraine pour l'exemple). Ce transfert d'argent était effectué par des sociétés telles que Western Union, etc.
La mule garde donc un faible pourcentage de l'argent volé aux victimes. Jusqu'à son interpellation et sa garde à vue en tout cas, ce qui arrive invariablement et plutôt rapidement... A peine le temps d'acheter un chat et déjà en garde à vue... (private joke) ;-)
Les mules sont recrutées au hasard mais également de façon plus ciblée, sur des sites de recherches d'emplois etc. (Voir ici pour un bon article sur le sujet.)
Quoi qu'il en soit, j'examinais une campagne de recrutement de mules par mail il y a quelques jours, lorsque j'ai vu une nouveauté pour le moins intéressante dans les e-mails des fraudeurs : (les xxx et les mentions entre parenthèses sont une anonymisation effectué par mes soins)
---
Dear xxx
This is (fake name) from (fake company). I was assigned your Regional Instructor and from now on you’ll be working under my supervision. I’ll be providing you with all necessary information and submitting tasks to complete. I do hope we’ll enjoy working together.
I wish to begin this letter by saying thanks to you for applying for the job of the(fake company). We appreciate the opportunity to meet you and learn more about your interests.
In order to join our team as soon as possible, you have to confirm your intention to work with us by filling in and sending us the contract and the application form (please see it enclosed).
The procedure is as follows:
1. Please register at this link to receive a personal account in our online system: http://xxx
2. Read our FAQ: http://xxx
3. Download our secure transaction certificate: http://xxx.exe
4. Download the contract at this link http://xxx
Please read it carefully, fill in the required fields, sign it and send it scanned back (with your photo attached) to our corporate e-mail: (e-mail address for the fake company)
You can also fax your application Our fax number is xxx
You will become our official employee and receive your first assignment as soon as this is done.
Note: Please read and fill in all the forms very carefully to eliminate possible malfunction of your account. After the registration you will be put in the waiting list for activation of your account, which is necessary to start the job. The approximate time is about 1-2 days, so just wait for a response, please.
You will enjoy the comfort of working with us. We take the responsibility to send you information about the transfers to your account, payment processing details and other details very promptly to assist and to facilitate your job.
My job is to assist you in managing payments and I'll be happy to do the utmost to help you whenever possible.
---
Notez le point 3 que j'ai mis en gras : on demande à la mule de télécharger et d'exécuter un fichier exécutable. Ma tête se transforme en carillon lorsque je lis ce genre de chose, remplie de sonneries d'alarmes : ATTENTION, DANGER, il s'agit probablement d'un malware.
Un téléchargement plus tard et une analyse rapide plus loin, force est de constater qu'effectivement, il s'agit d'un code malveillant. Son but ? Empêcher la mule de découvrir sur Internet que cette offre d'emploi est "bidon".
La seule fonction de cet exécutable est de changer le fichier "HOSTS" de la mule. En simplifiant un maximum, sous un système Windows, ce fichier permet de rediriger les navigations de l'ordinateur.
Les lignes suivantes sont ajoutées au fichier HOSTS :
127.0.0.1 google.com
127.0.0.1 google.co.uk
127.0.0.1 www.google.com
127.0.0.1 www.google.co.uk
127.0.0.1 suckerswanted.blogspot.com
127.0.0.1 ideceive.blogspot.com
127.0.0.1 www.bobbear.co.uk
127.0.0.1 bobbear.co.uk
127.0.0.1 reed.co.uk
127.0.0.1 seek.com.au
127.0.0.1 scam.com
127.0.0.1 scambusters.org
127.0.0.1 www.guardian.co.uk
127.0.0.1 ddanchev.blogspot.com
127.0.0.1 aic.gov.au
127.0.0.1 google.com.au
127.0.0.1 www.reed.co.uk
Le résultat de cette modification ? Toutes les navigations de l'utilisateur vers les sites listés ne fonctionneront plus. (oui oui je sais je simplifie à outrance, c'est de la vulgarisation et pas un doc technique ;-) )
La plupart de ces sites sont des sites soit de recherches (google) soit des références mondiales de lutte contre le phishing/recrutement de mules (reed.co.uk et bobbear.co.uk en particulier)
Ainsi, si la mule essaye de se renseigner sur les échanges avec les fraudeurs et la campagne de recrutement en allant consulter ces sites, elle ne pourra pas obtenir d'information. D'où le titre de cet article...
Cette méthode est intéressante et nous montre que les cybercriminels continuent de déployer des trésors d'ingéniosité pour maximiser les gains de leurs arnaques et rentabiliser le temps passé à les mettre en place. Bien que la plupart des solutions anti-virales détectent ce code malveillant, le problème en matière de phishing reste esentiellement humain, et la sensibilisation reste une clef de voûte dans la lutte contre ce type d'escroqueries.
jeudi 20 mai 2010
Par Cedric Pernet le jeudi 20 mai 2010, 08:35
Yesterday, Brian Krebs published the story of a carding forum, carders.cc, which has been compromised.
In brief, a carding forum is an Internet-based forum where carders are getting in touch, doing fraudulent business, exchanging stolen credit card/credentials, information, tools … One could think that such dark places would be hidden deeply on Internet, but some are very visible. You could also think that such forums would be highly secured, but sometimes they’re not. Well, carders.cc was as visible as vulnerable, it seems.
Anyway, back to our story. The hackers, naming themselves "happy ninjas" (and we all know ninjas are stronger than pirates...), managed to get access to all the data from carders.cc. Amongst these data were stolen banking credentials and credit card numbers from victims, but also, what interested me most, data about the carders themselves. They published some of these data on a public server. (I caught it just by reading some tweets…)
Numerous articles have already been published about the case, but I didn’t see any about the specific point of interest for me: the 3726 unique e-mail addresses of the members of the forum.
Seeing all these complete e-mail addresses, I asked myself some questions :
• Do the fraudsters have favorite e-mail services?
• Do the fraudsters use more gTLDs or ccTLDs?
• Do the fraudsters use only generic webmail providers, or do they also use specific providers? Maybe even corporate addresses?
I quickly started to parse and analyze the data, and the first results were there.
TOP 20 DOMAINS USED BY THE CYBERCRIMINALS (click the image to zoom)
From the 3726 unique e-mail addresses, there were 349 unique providers.
Carders.Cc is a German forum. Therefore, it is not surprising to see three German domains (web.de, gmx.de, hotmail.de) as being the most used provider. We can assume that if these people use a German e-mail address on an e-mail forum, using sometimes German nicknames, chances are that these cybercriminals don’t use proxies and browse the forum using their real IP address. This supposition has been confirmed by the happy ninjas :
“Sure, some of you maybe always used a proxy... Most of the administrators and moderators didn't. Did you?”
The first anonymous e-mail address provider is mail.3dl.am, ranked 12. This website garantees that your IP addresses are never logged when using their services. Sounds like a bulletproof webmail system.
Immediately following 3dl.am is owlpic.com, a temporary e-mail system. This allows people to register on the forum using a one-time e-mail address.
The 300 domains after the TOP 50 have been used less than 5 times, and 230 domains have been used in a single way. Some corporate companies are used. They are probably compromised accounts. This is interesting, but you will have to find them by yourself : for confidentiality purposes, I am not copying them in this document.
Now about the TLDs used:
TOP 8 TLDs used by the fraudsters (click the image to zoom)
We see .de is almost twice as much used as its follower, .com. Then it decreases quite fast.
Amongst the TLDs there are some ccTLDs which are quite surprising to witness here : .AM (Armenia) , .AI (Anguilla), and .MU (Mauritius)
.AM appears 67 times. The reason is the use of a mail.3dl.am free anonymous e-mail service in german language.
.AI appears 27 times, being used for hush.ai service.
.MU has been used 18 times for the domain kuh.mu, currently down.
I stop my little analysis right here, since I have already spent too much time on it yesterday night ;-)
Let me finish with some axes of researches:
• IP addresses. There are thousands of IP addresses linked to the fraudsters. It would be very interesting to have some statistics on these.
• Passwords. Cracking the passwords could provide us with funny statistics about most common passwords used, their length, their geekness, and so on… ;-)
Have fun ! :-)
mercredi 5 mai 2010
Par Cedric Pernet le mercredi 5 mai 2010, 06:24
Au beau milieu des acteurs de la réponse à incident de sécurité informatique se trouvent les services "Abuse". La quasi-totalité des hébergeurs disposent d'un tel service, généralement joignable exclusivement par e-mail à "abuse@nomduFAI". Ces services travaillent sur des aspects techniques afin de faire respecter le bon usage de leurs services et de protéger les internautes de certaines menaces. Ainsi, parmi leurs missions les plus fréquentes on trouve en particulier le traitement des signalements des cas :
Ces services collaborent étroitement avec les équipes CERT ainsi qu'avec les services judiciaires afin de faire cesser au plus vite toute infraction.
Seulement voilà, il s'agit de...la théorie. Dans la pratique, les services abuse sont souvent lents, et relativement opaques. Malgré le fait qu'en France, ils aient l'OBLIGATION de faire retirer les contenus illicites dès qu'ils en ont connaissance, les délais d'intervention de ces services sont très variables. Les services abuse répondent souvent à un mail par un message automatisé, ou ne répondent pas du tout, et vous envoient un mail (ou pas) lorsqu'un incident est résolu. Parfois ils agissent sans fournir aucun retour, ou n'agissent tout simplement pas.
Du coup, le meilleur moyen de savoir s'il y a eu une action de leur côté est souvent de consulter régulièrement la page web à problème (dans le cas d'un site de phishing par exemple) jusqu'à la voir disparaître.
Les services abuse sont également les ennemis des cybercriminels. C'est le jeu, et ces derniers ont pour habitude de faire héberger leurs contenus frauduleux sur plusieurs serveurs différents, sachant pertinemment qu'ils seront fermés au fur et à mesure.
Récemment cependant, nous avons pu observer un nouveau type d'attaque ciblée de la part de certains cybercriminels. Ces derniers écrivent au service Abuse en se faisant passer pour un internaute ayant un problème de sécurité, un mail parmi tant d'autres à traiter... Ils prétextent avoir vu un site de phishing, et indiquent un lien vers une page frauduleuse que l'équipe de réponse à incident va consulter afin de vérifier la véracité des dires de l'internaute. Mais ce lien les dirige directement sur une page dont le seul but est... d'infecter le service Abuse avec un cheval de Troie !
Voici un exemple d'un tel e-mail :
--
To: abuse@bank.com
Cc: fraud@bank.com; scams@bank.com; customersupport@bank.com; security@bank.com
Subject: Possible Fake Web Site
Hello, I just received an email stating it was from your bank and since I don't have any accounts with you I think this is a fake site. I just thought you might like to know someone is trying to scam your customers.
The email had the following link to your bank (link)
Thanks, I hope you catch the scammers.
--
Les intérêts d'une infection d'un service abuse sont multiples mais je vois surtout les possibilités de :
Dans l'exemple réel que nous avons cité, et dans lequel nous avons évidemment changé les adresses pour respecter l'anonymat de l'établissement bancaire ciblé, vous pouvez voir en plus que les fraudeurs ont envoyé leur e-mail vers plusieurs services "à l'aveugle" : des adresses ayant des chances d'exister ont été ajoutées (security@, fraud@, customersupport@ ...).
Comme toujours donc, que vous soyez un particulier ou un professionnel de la sécurité informatique, la prudence est de mise. Favorisez les navigateurs exotiques, soyez toujours à jour au niveau de votre logiciel anti-virus, et soyez préparés à rétablir un système sain rapidement en cas d'infection.
Article également publié sur ZDNet et sur le blog du CERT Lexsi.
mardi 6 avril 2010
Par Cedric Pernet le mardi 6 avril 2010, 03:40
Bonjour à tous/toutes,
Je viens de publier un petit compte-rendu de ma visite du FIC 2010 (Forum International Cybercriminalité) à Lille... Ca se passe sur le blog du CERT Lexsi.
lundi 22 février 2010
Par Cedric Pernet le lundi 22 février 2010, 14:03
ScanSafe, société appartenant au groupe Cisco, a récemment publié son rapport annuel 2009 portant sur les menaces informatiques. Cette étude est entièrement basée sur l'analyse de trafic web géré par ScanSafe. Même si le document ne présente rien de révolutionnaire, il a le mérite de rappeller certains faits que je trouve intéressant et que je me permet d'agrémenter de quelques commentaires :
Sur un plan purement malware :
Enfin, le document souligne le fait que si les entreprises ne sont pas capables de tirer profit de leurs erreurs passées, elles courent à la catastrophe. Je clotûre donc ce post par cette citation qui a une saveur toute particulière à mes oreilles:
"Those who cannot remember the past are condemned to repeat it".
A bientôt ;-)
mardi 16 février 2010
Par Cedric Pernet le mardi 16 février 2010, 13:36
Depuis quelques années, la technique du "drive-by download" s'est développée de façon spectaculaire, permettant à des cybercriminels d'infecter des ordinateurs de façon totalement transparente. Ces ordinateurs sont souvent délaissés au niveau de leur sécurité : les patchs de sécurité ne sont pas appliqués, il n'y a pas d'anti-virus, pas de firewall ... Des machines comme ça, nous en avons tout autour de nous, et elles ne mettent jamais longtemps à se faire infecter par des malware divers et variés, malheureusement.
Le "drive-by" download désigne en fait toute méthode qui permet de faire télécharger et exécuter à l'insu de l'utilisateur un contenu (la plupart du temps) malicieux. La méthode la plus judicieuse dans ce cadre reste d'infecter un site "légitime" et d'y placer son malware. Mettre en place un drive-by download de ce type est simple pour un pirate : il compromet d'abord un site, si possible à forte visibilité, qui garantira une forte propagation de son contenu malicieux. Puis il y place des liens, des redirections, ou directement une exploitation d'une ou plusieurs vulnérabilités.
L'ancien adage du "tu ne surferas point sur des sites immoraux, de peur d'attraper un virus" n'est plus vrai : on peut se faire infecter en naviguant sur des sites parfaitement respectables. Les exemples sont nombreux : CNN, Yahoo etc... Le premier cas de drive-by dowload sérieux dont je me souvienne est celui du stade des Dolphins de Miami, juste avant une finale de Superbowl, en 2007 : les pirates avaient réussi à compromettre le site principal de l'évènement et propageaient une variante d'Haxdoor, un malware de type cheval de Troie bien connu pour dérober notamment les accès de comptes bancaires... Un exemple précis ici, si vous voulez creuser un peu le sujet. En fait, le manque de sécurité des administrateurs de certains serveurs web joue en faveur des pirates tout autant que le manque de sécurité des postes utilisateurs. Il existe des centaines de milliers de sites légitimes compromis dans le seul but de propager du malware...
Les buts poursuivis sont variés : infections des ordinateurs par des chevaux de Troie qui vont "voler" les identifiants et mots de passe bancaires des utilisateurs, propagation de spam, collecte de données sensibles, etc.
Depuis peu, certains cybercriminels ont décidé de propager leur contenu d'une façon moins conventionnelle : ils procèdent par "phone-by download". (Je n'ai pas inventé le terme...)
En effet, j'ai eu vent d'attaques pour le moins originales ciblant des utilisateurs :
Cette méthode présente un inconvénient majeur pour le pirate : elle ne permet pas d'infecter beaucoup de machines. Cependant, dans le cas d'une attaque ciblée, dans laquelle le pirate vise une personne en particulier (généralement pour du vol d'informations sensibles), ce n'est pas un problème. D'autant plus que les utilisateurs commencent à se méfier des spam, mais se méfient beaucoup moins d'un contact "réel" avec un autre être humain.
Finalement, cette nouvelle attaque se contente d'utiliser les bonnes vieilles méthodes de social engineering des années 80 en mêlant usurpation d'identité et crédulité de certains utilisateurs. Efficace.
mardi 6 octobre 2009
Par Cedric Pernet le mardi 6 octobre 2009, 12:50
Récemment une étude de Finjan a généré un buzz médiatique assez important autour d'un malware connu sous les alias d' URLZone ou encore de Bebloh.
Ce malware est un cheval de Troie bancaire, un code malveillant conçu et développé pour voler vos identifiants bancaires. Mais plus que ça, ce malware dispose de la capacité de générer des transactions bancaires "à la volée". Lorsqu'une victime se connecte sur son compte bancaire et génère un virement bancaire légitime, la requête est interceptée de façon transparente par le malware. Ce dernier modifie les informations de transaction, et envoie de l'argent vers une mule. (Une mule est un intermédiaire recruté par les fraudeurs, qui reçoit l'argent détourné et le renvoie vers les fraudeurs, souvent par Western Union, vers un pays exotique ... La mule conserve un faible pourcentage de la transaction, de l'ordre de 3 à 8% généralement)
Plusieurs familles de malware ont ce comportement, qui n'est pas nouveau. Une amélioration plus récente embarquée dans URLZone est de "truquer" la confirmation de virement et le relevé en ligne.
Encore plus étonnant, le malware, avant d'effectuer son détournement de fonds, vérifie...l'état du compte bancaire ! Le virement effectué par le malware tiendra compte de plusieurs paramètres dont le solde du compte, afin de minimiser les chances d'être découvert : le compte restera positif et les montants prélevés sont plutôt minimes. Brillant.
Enfin, dans le cas où la fraude est détectée par la victime ou par sa banque, suit logiquement le dépôt de plainte de la victime. Mais là encore, les fraudeurs déploient un dernier atout dans leur code pour augmenter les chances de passer inaperçu et perturber les enquêtes judiciaires... En effet, l'une des pistes utilisée par les enquêteurs est de suivre le parcours de l'argent : les sommes virées par le malware vont vers des mules identifiables. Les forces de l'ordre peuvent suivre ce parcours en demandant aux banques de leur transmettre les coordonnées des comptes bancaires des mules. Seulement, sur une enquête impactant des centaines de victimes, les services judiciaires font de la récolte de mules en accumulant les plaintes, et peuvent passer à côté de mules qui ont reçu de l'argent de victimes qui ne se sont jamais rendues compte de l'escroquerie...
Une méthode alternative serait donc d'infecter des machines dans des environnements de tests, afin de voir les transactions s'effectuer vers les mules (en les empêchant de passer bien entendu).
C'est là qu'intervient à nouveau l'ingéniosité des auteurs de ce malware : lorsqu'il détecte un environnement de test, au lieu de ne plus rien faire comme la plupart des autres malware, il reste actif et génère des virements... vers des victimes innocentes ! Ainsi, les chercheurs souhaitant collecter de l'information sur les mules se retrouvent dans un cul de sac... Et les forces de l'ordre vont perdre un temps précieux à enquêter sur des personnes qui n'ont rien à voir avec le schéma frauduleux d'URLZone.
Le ou les auteurs de ce malware nous démontrent, s'il était encore besoin de le dire, que les chevaux de Troie embarquent de plus en plus de techniques qui leur assurent non seulement des taux d'infection et une furtivité accrue, mais également des techniques qui augmentent leurs chances de ne jamais se faire arrêter.
mercredi 30 septembre 2009
Par Cedric Pernet le mercredi 30 septembre 2009, 12:53
Dmitry Samosseiko de Sophos s'est penché sur un type de cybercriminalité qui, bien que n'étant pas récent, n'a pas fait l'objet de beaucoup d'études quant à présent. Il s'agit du phénomène de l'affiliation.
Le principe est simple, et issu du marketing : des internautes disposant de sites web sont rémunérés par des sociétés d'affiliation ou des webmarchands afin de leur amener du trafic. Plus vous amenez de visiteurs à votre affiliant, plus vous gagnez d'argent.
Le hic, c'est que des cybercriminels utilisent l'affiliation de façon frauduleuse, et ce depuis plusieurs années, le phénomène n'étant pas nouveau mais faiblement documenté sur Internet.
L'étude de Sophos se concentre donc sur le déploiement de l'affiliation dans un cadre totalement illicite : l'affiliation vers des produits illégaux. En tête de liste, les sites de contrefaçons, qu'elles soient de produits pharmaceutiques (Viagra, Cialis, Levitra etc.), ou de produits de luxe (montres, sacs à mains etc.) ... D'autres sites ayant un fort besoin de trafic ne sont pas forcément illégaux mais encouragent des méthodes douteuses d'affiliation: casinos sauvages, sites pornographiques etc.
Et bien sûr, phénomène très en vogue ces derniers temps : les sites de "rogue anti-virus" ou "rogue AV".
Quoi qu'il en soit, même si certains sites sont à priori légaux, les méthodes déployées par les affiliés pour amener du trafic le sont moins :
L'exemple de GlavMed pris par Sophos est très intéressant : Glavmed fournit clef en main tout le nécessaire pour déployer un site de type "Canadian Pharmacy" rapidement ... Il ne reste plus qu'à générer du trafic, et par ici la monnaie...
J'en reste là, mais je vous encourage fortement à lire cette étude. Je m'excuse également de vous la signaler aussi tard (elle a été publiée il y a une bonne semaine) mais comme vous le savez je ne blogge que sur mon temps libre, et je n'en ai pas beaucoup en ce moment... D'ailleurs je me suis senti obligé de sacrifier ma pause déjeuner ce midi pour écrire ce petit post, j'espère que vous apprécierez ce geste à sa juste valeur ;-))
Plus sérieusement, cette étude a malheureusement été très peu relayée par les médias français. Il semble que la seule information qui ait été retenue et reprise soit le fait que chaque installation d'un malware sur Mac était rémunérée 0.43 $. Je trouve ça un peu dommage, pour un papier dont la lecture est aussi agréable et intéressante.
Enfin, si le sujet vous intéresse, notamment l'aspect pharmaceutique, je vous encourage si ce n'est déjà fait à lire les travaux de Guillaume Arcas dans MISC. Guillaume, que je salue au passage, a bien creusé le domaine, et apporte des éléments vraiment pertinents. Un must :-)
jeudi 27 août 2009
Par Cedric Pernet le jeudi 27 août 2009, 13:11
Trend Micro a publié hier une étude passionnante intitulée "A Cybercrime Hub".
Cette étude nous présente une compagnie estonienne qui sous des apparences légitimes se trouvait être totalement illicite. Cette compagnie, dont le nom est tu par Trend mais qu'il est facile de découvrir en googlant un peu, existe depuis 2005. Ses principales activités sont l'hébergement de contenus web, la distribution de trafic web, et la publicité. Jusqu'en octobre 2008 environ cette compagnie était même agréée par l'ICANN pour enregistrer des noms de domaines Internet.
Les data-center de cette compagnie sont répartis partout dans le monde, sous forme de serveurs achetés ou loués, avec une prédominance aux Etats-Unis. Ainsi, lorsque l'un de ces data-center est fermé, comme ce fut le cas en 2008 à San Francisco (ça ne vous rappelle rien ?) il suffit de basculer ailleurs ... Et de tout remettre en route en quelques heures !
Le quotidien de cette entreprise est en fait entièrement orienté vers la cybercriminalité sous des formes de fraudes diverses et variées. La plupart des jeunes employés de la compagnie, pour la plupart des étudiants ayant une vingtaine d'années et habitant dans la région de Tartu en Estonie, utilisent toutes leurs compétences techniques pour fournir des services frauduleux.
Le document se focalise sur certains aspects techniques déployés par les cybercriminels :
Le papier de Trend Micro nous montre une structure élaborée, avec un intranet particulièrement bien conçu pour être déplacé régulièrement, sans trop entrer dans les détails techniques. La compagnie estonienne dispose de fortes compétences techniques, et sait les déployer et s'en servir de façon efficace. Leur niveau technique est impressionant, mais ce qui m'impressionne surtout, c'est cette capacité à toujours être innovant en termes de cybercriminalité. En seulement 4 ans, cette société a déployé des trésors d'imagination pour générer un maximum de profit.
Les "busts" récents sur un certain nombre d'hébergeurs bulletproof, non pas effectués par les services de Police mais par la communauté de la sécurité informatique et de la cybercriminalité, n'ont finalement eu pour effet sur le long terme que de rendre les cybercriminels plus méfiants, et plus prévoyants : s'attendant à se faire fermer à tout moment, ils sont capable d'apparaitre ailleurs très rapidement. On ne peut que craindre une augmentation de ce type de malveillances, tant que les législations internationales ne seront pas améliorées pour permettre aux forces de l'ordre de migrer ces fraudeurs vers une cellule bulletproof. :-)
« billets précédents - page 1 de 2