Et un email frauduleux...
Par Guillaume Duc le lundi, juillet 4 2005, 18:49 - Sécurité - Lien permanent
Ayant crée un compte sur eBay récemment, je suis plus attentif aux différents mails en provenance de cette societé (avant ils tombaient directement dans ma boite à spam). Ce soir je reçois sur un mail, bien fait, mais qui au final tente de me voler mes identifiants et mes coordonnées bancaires. Décortiquons un peu ce mail...
Le mail
Le mail tel qu'il apparait dans ThunderBird
Le mail en question, rédigé en anglais, m'explique, grosso modo, que mon compte a été l'objet d'une tentative d'attaque (il va même jusqu'à donner l'adresse IP du prétendu attaquant) et que pour confirmer mon identité je dois cliquer sur le lien donné, sous peine de voir mon compte suspendu dans 48 heures. Afin de paraître plus crédible, il me donne affiche des images en provenance du site d'eBay ainsi qu'un numéro d'alerte.
Le lien sur lequel je suis censé cliquer apparait comme https://scgi.ebay.com
mais en regardant de plus près, il pointe en réalité vers l'adresse http://ebay.security-validations.com/. En allant sur cette adresse (qui en fait redirige vers une adresse du style http://70.84.112.50 (une adresse IP) et donc probablement sur un site hébergée par une machine compromise), on tombe sur une page nous demandant pelle-melle : nos coordonnées, notre numéro de sécurité social (très important aux Etats-Unis), notre compte et notre mot de passe PayPal, notre numéro de carte de crédit, etc., bref beaucoup beaucoup d'informations (voir plus bas)...
En regardant de plus près les entêtes du mail, on voit bien que ce mail ne vient pas de la societé eBay bien entendu :
Received: from llgb044.servidoresdns.net (llgb044.servidoresdns.net 217.76.130.17) by coliposte.enst-bretagne.fr (8.12.10/8.12.10/2004.09.01) with ESMTP id j64FqnZH005489 for <xxx>; Mon, 4 Jul 2005 17:52:49 +0200 Received: from llgb044.servidoresdns.net (localhost.localdomain 127.0.0.1) by llgb044.servidoresdns.net (8.12.10/8.12.10) with ESMTP id j64FqoIE000461 for <xxx>; Mon, 4 Jul 2005 17:52:50 +0200 Received: (from krdesigns.org@localhost) by llgb044.servidoresdns.net (8.12.10/8.12.10/Submit) id j64Fqoct000457; Mon, 4 Jul 2005 17:52:50 +0200
Le serveur web
Une copie d'écran du site web frauduleux
En faisant un petit tcpdump de la machine hébergeant le faux serveur web, on obtient les ports suivants :
PORT STATE SERVICE 1/tcp open tcpmux 21/tcp open ftp 22/tcp open ssh 25/tcp open smtp 80/tcp open http 110/tcp open pop3 111/tcp open rpcbind 143/tcp open imap 443/tcp open https 465/tcp open smtps 993/tcp open imaps 995/tcp open pop3s 1040/tcp open netsaint 1080/tcp filtered socks 1434/tcp filtered ms-sql-m 3128/tcp filtered squid-http 3306/tcp open mysql 6666/tcp open irc-serv 9999/tcp open abyss
La machine fait par exemple tourner un serveur IRC, souvent utilisé pour emettre des commandes vers la machine cible par l'attaquant. Bref, tous les signes d'une machine compromise.