Cedric PERNET - Forensics, Malware & Cybercrime

Aller au contenu | Aller au menu | Aller à la recherche

Mot-clé - phishing

Fil des billets - Fil des commentaires

jeudi 24 février 2011

With love from FREE

Les phishing FREE sont monnaie courante, mais je n'avais pas fait attention au message de remerciement fourni par les fraudeurs lorsque le processus de soumission de données arrive à son terme :

phishing_free.PNG

Décidément, les fraudeurs ont de l'humour... (et merci @Jipe_ pour l'info ;-) )

jeudi 24 juin 2010

PHISHING : des oeillères pour les mules

Je n'aime pas trop certains termes français relatifs à la cybercriminalité. Parmi eux, le "hameçonnage". Je me permettrais donc de parler de "phishing", les puristes de la langue française m'excuseront.

Je ne vais pas revenir en détails sur ce qu'est le phishing. Le principe est simple : des cybercriminels créent des fausses pages web imitant une cible particulière (banque, fournisseur d'accès Internet, etc.) et envoient des milliers d' e-mails au petit bonheur la chance en se faisant passer pour la cible. Prenons l'exemple d'une banque : les fraudeurs se font passer pour la banque, et sous un prétexte quelconque (souvent une mise à jour de sécurité) ils demandent à l'internaute de cliquer sur le lien "qui rétablira tout". Un internaute crédule ira donc se connecter sur la page, qui est une fausse page imitant sa banque, et entrera ses identifiants et mots de passe bancaires... Il ne reste plus pour les fraudeurs qu'à se connecter à la place de l'internaute, sur sa véritable banque, et à profiter du compte bancaire.

Seulement, il y a un petit hic : ces fraudeurs sont localisés ailleurs dans le monde, en Ukraine ou en Roumanie par exemple. Sachant que la plupart des banques françaises n'autorisent pas de virements bancaires directs vers l'étranger, les pirates ont dû trouver une parade. Ils ont contourné le problème en lançant des campagnes de recrutement de "mules". L'idée était de créer de fausses entreprises (souvent avec site web) qui sous prétexte de travailler dans le secteur financier mais pas dans votre pays vous proposent de travailler pour eux de chez vous. Le principe et les slogans sont accrocheurs, du style: "gagnez jusqu'à 5000 Euros par mois, en travaillant de chez vous, moins de 3 heures par semaine."

En fait, les fraudeurs allaient se connecter sur les comptes des victimes "phishées", et effectuaient des virements bancaires vers les mules. Ces mules devaient ensuite renvoyer la somme amputée de 3 à 10% vers une adresse étrangère (Ukraine pour l'exemple). Ce transfert d'argent était effectué par des sociétés telles que Western Union, etc.

La mule garde donc un faible pourcentage de l'argent volé aux victimes. Jusqu'à son interpellation et sa garde à vue en tout cas, ce qui arrive invariablement et plutôt rapidement... A peine le temps d'acheter un chat et déjà en garde à vue... (private joke) ;-)

Les mules sont recrutées au hasard mais également de façon plus ciblée, sur des sites de recherches d'emplois etc. (Voir ici pour un bon article sur le sujet.)

Quoi qu'il en soit, j'examinais une campagne de recrutement de mules par mail il y a quelques jours, lorsque j'ai vu une nouveauté pour le moins intéressante dans les e-mails des fraudeurs : (les xxx et les mentions entre parenthèses sont une anonymisation effectué par mes soins)


---

Dear xxx

This is (fake name) from (fake company). I was assigned your Regional Instructor and from now on you’ll be working under my supervision. I’ll be providing you with all necessary information and submitting tasks to complete. I do hope we’ll enjoy working together.

I wish to begin this letter by saying thanks to you for applying for the job of the(fake company). We appreciate the opportunity to meet you and learn more about your interests.

In order to join our team as soon as possible, you have to confirm your intention to work with us by filling in and sending us the contract and the application form (please see it enclosed).

The procedure is as follows:

1. Please register at this link to receive a personal account in our online system: http://xxx

2. Read our FAQ: http://xxx

3. Download our secure transaction certificate: http://xxx.exe

4. Download the contract at this link http://xxx

Please read it carefully, fill in the required fields, sign it and send it scanned back (with your photo attached) to our corporate e-mail: (e-mail address for the fake company)

You can also fax your application Our fax number is xxx

You will become our official employee and receive your first assignment as soon as this is done.

Note: Please read and fill in all the forms very carefully to eliminate possible malfunction of your account. After the registration you will be put in the waiting list for activation of your account, which is necessary to start the job. The approximate time is about 1-2 days, so just wait for a response, please.

You will enjoy the comfort of working with us. We take the responsibility to send you information about the transfers to your account, payment processing details and other details very promptly to assist and to facilitate your job.

My job is to assist you in managing payments and I'll be happy to do the utmost to help you whenever possible.

---

Notez le point 3 que j'ai mis en gras : on demande à la mule de télécharger et d'exécuter un fichier exécutable. Ma tête se transforme en carillon lorsque je lis ce genre de chose, remplie de sonneries d'alarmes : ATTENTION, DANGER, il s'agit probablement d'un malware.

Un téléchargement plus tard et une analyse rapide plus loin, force est de constater qu'effectivement, il s'agit d'un code malveillant. Son but ? Empêcher la mule de découvrir sur Internet que cette offre d'emploi est "bidon".

La seule fonction de cet exécutable est de changer le fichier "HOSTS" de la mule. En simplifiant un maximum, sous un système Windows, ce fichier permet de rediriger les navigations de l'ordinateur.

Les lignes suivantes sont ajoutées au fichier HOSTS :

127.0.0.1 google.com
127.0.0.1 google.co.uk
127.0.0.1 www.google.com
127.0.0.1 www.google.co.uk
127.0.0.1 suckerswanted.blogspot.com
127.0.0.1 ideceive.blogspot.com
127.0.0.1 www.bobbear.co.uk
127.0.0.1 bobbear.co.uk
127.0.0.1 reed.co.uk
127.0.0.1 seek.com.au
127.0.0.1 scam.com
127.0.0.1 scambusters.org
127.0.0.1 www.guardian.co.uk
127.0.0.1 ddanchev.blogspot.com
127.0.0.1 aic.gov.au
127.0.0.1 google.com.au
127.0.0.1 www.reed.co.uk

Le résultat de cette modification ? Toutes les navigations de l'utilisateur vers les sites listés ne fonctionneront plus. (oui oui je sais je simplifie à outrance, c'est de la vulgarisation et pas un doc technique ;-) )

La plupart de ces sites sont des sites soit de recherches (google) soit des références mondiales de lutte contre le phishing/recrutement de mules (reed.co.uk et bobbear.co.uk en particulier)

Ainsi, si la mule essaye de se renseigner sur les échanges avec les fraudeurs et la campagne de recrutement en allant consulter ces sites, elle ne pourra pas obtenir d'information. D'où le titre de cet article...

Cette méthode est intéressante et nous montre que les cybercriminels continuent de déployer des trésors d'ingéniosité pour maximiser les gains de leurs arnaques et rentabiliser le temps passé à les mettre en place. Bien que la plupart des solutions anti-virales détectent ce code malveillant, le problème en matière de phishing reste esentiellement humain, et la sensibilisation reste une clef de voûte dans la lutte contre ce type d'escroqueries.

vendredi 27 avril 2007

Free Phish For All :-p


As said on CERT LEXSI's Weblog in THIS article from Nicolas WOIRHAYE, the french ISP "FREE" (aka FREE PROXAD) has got its own dedicated phishing kit now.

It was quite a long time I was expecting this kind of phishing, but I had seen none yet impacting a french ISP.
Of course, to phish such company is a nice way for fraudsters to collect personnal data, FTP accesses, mails, big storage capacities, and so on...
Waiting to see one for "WannaDo" :-P

mardi 13 mars 2007

Numberz


I know, I'd better post personnal stuff/comments on the blog instead of other people's articles, but... I'm lazy and have few time at the moment for it ;-)

Anyway, here's another interesting article about playing with numbers ... Written by Dr. Neal Krawetz, it tells us about laptop losses and about spam/phishing ...

To bounce on this topic, I'm amazed by the number of employees who are allowed to take home their professional laptop, and who are having no idea of what computer security is.
They are taking the laptop home, storing personnal and professional infos without any encryption, connecting the machine to Internet, and so on...

All of this is driving me quite mad, to stay polite ;-)