Ne surtout pas cliquer sur le bouton "Afficher ce groupe "

Ne surtout pas cliquer sur le bouton “Afficher ce groupe “, si vous recevez ce type de message.

Rappel de la vérification des Url présentes dans des messages, sur cette page :
https://www.pictopagina.com/phishing/
Notamment via la premiere vidéo.

 
Il s’agit d’une tentative de Phishing, pouvant bloquer l’ordinateur.
 
Regardez l’image ci-contre, j’ai dévoilé la véritable Url, si d’aventure, on clique sur le bouton : « Afficher ce Groupe ».
 
Faut avouer que c’est bien foutu, ça donne vraiment envie de cliquer, car au grand jamais, nous n’avons demandé de faire partie de ce groupe !
 

Alors, le fait qu’une sirène d’alarme se déclenche et tutti quanti, peut faire peur à plus d’un. Mais en vérité, il s’agit souvent de leurres.

La chose à faire en ce cas, et de forcer à quitter le navigateur.
Nb : Sur Mac, faire « Alt + Cmd + Esc » 

 

Pour ceux que ça intéresse, un peu de technique :

 
Le site piraté pour ce phishing est donc : http://africige.bekeh.com
Et le dossier dormant créé par le pirate sur ce site est « x » : http://africige.bekeh.com/x/
Car le chemin vers l’administration de WordPress n’est pas sécurisé : http://africige.com/wp-login.php


Ce site n’est même pas sécurisé par un certificat SSL (https) !

WordPress est bien dans sa dernière version (5.6) voir image ci-contre.

Un dossier dormant est un dossier placé sur le niveau zéro d’un site internet.
Son nom pourra être (entre autres) : news, x, mails, etc.
C’est à dire un nom qui n’attire pas l’attention du gestionnaire du site.

Le but du pirate n’est pas de “faire tomber” le site, mais d’y placer (faute de sécurisation de celui-ci) du code qui va aboutir à une tentative d’arnaque. Et ne vous y trompez pas, l’arnaque aboutit dans malheureusement bien des cas, faute d’apprentissage de la part des internautes.


Eh oui, créer, protéger, gérer, un site internet, c’est un métier.


Nb : Encore des gens qui ne savent pas sécuriser WordPress, et après, c’est nous qui sommes embêtés.

Voici l’écran obtenu, si vous cliquez sur l’Url : http://africige.bekeh.com/x
Nb : C’est sans danger. Vous pouvez aussi agrandir l’image en cliquant dessus.

Les pirates ont des “carcasses” dans la langue de chaque pays, afin de peaufiner le message.

Par contre, le lien complet, emmène vers la tentative de phishing : http://africige.bekeh.com/x/?key=RrKv1qzd9Y1Dmc4C99&23wvhvcq9ymppsswul2nov1L1&id=138753
Nb : Il ne faut surtout pas tester ce lien.

Où l’on voit après le nom de domaine et le dossier dormant “x”, le signe “?”, qui appelle une action, à savoir, celle de la clé “key=”, qui va emmener vers un code source avec sirène et tout le toutim, tout en affichant l’image ci-dessus.
Ensuite, on a un ajout à l’action, via le signe “&”, qui appelle l’id=138753

Vu que la cible (vous, nous) de cette tentative, reçoit un message menant vers cette tentative, qui est logée sur un site piraté (infecté en fait), fait que l’on ne pourra remonter (la Police) le chemin vers la source, puisque ce chemin s’arrêtera au site piraté.

D’où l’importance de sécuriser les sites WordPress contre les “Brut Force Attack”.
C’est à dire, un logiciel (bot) qui va tenter de trouver – même si cela lui prend des heures – le mot de passe du site.
Et comme l’accès admin est facile (nomdedomaine/wp-admin), il ne reste plus au bot qu’à faire sont job. Pendant ce temps-là, le pirate va prendre un café.

L’idée est donc :
De créer un mot de passe fort (+ de 16 caractères si possible), composé de signes de chiffres, etc. Exemple : 6st4@lgw/gAOJN§;yd
Et non constitué de mots qui existent dans les dictionnaires comme : monmotdepasseamoiquejai
Ce que le bot n’aura aucune difficulté à trouver…

Analyse de l'émail reçu

Pour information, j’ai remonté la piste du code source du mail (image partielle du mail ci-dessous) reçu par un de mes clients, afin d’en déterminer l’adresse IP d’envoi. Celle-ci est visible au 2ème “received” (ligne 11) surligné en blanc (45.172.238.8).
Cela dit, le pirate a très bien pu utiliser un VPN pour brouiller sa piste.

Le message a été envoyé du Brésil, (image ci-contre) par un certain “Everton Donizette de oliveira”.

"Mais comment le pirate a t-il eu connaissance de mon adresse mail" ?

Oui, on pourra se le demander : “Mais comment diable le pirate a t-il eu connaissance de mon adresse mail” ?
Eh bien, sachez que ce n’est pas si difficile que cela.
Mais la meilleure méthode pour ces pirates est de récolter des “carnets d’adresses”… oui, mais comment ?

Une de ces méthodes est de la responsabilité même des internautes…
En effet, la plupart des personnes qui ont au moins 1 adresse mail (et souvent qu’une seule d’ailleurs) récupèrent leurs mails sur le portail mail (webmail) de leur fournisseur de messagerie.

Ainsi, par exemple, pour Orange, ce sera via l’Url : https://messagerie.orange.fr/mail.html
Pour Free : https://zimbra.free.fr
Pour SFR : https://webmail.sfr.fr/fr_FR/main.html
Etc.

Mais ça, c’est un très mauvaise idée, parce qu’au fur et à mesure que l’on consulte ses mails, le carnet d’adresse sur le webmail s’enrichit des adresses mail de vos contacts. C’est à dire sur un disque-dur distant.
La preuve : Commencez la rédaction d’un mail, tapez les 3 premières lettres du nom de votre correspondant, et là, comme par magie, le nom complet s’affiche… c’est bien la personne envers qui vous souhaitez envoyer un mail.

Comment ce fait-ce ? 
Very simple, les adresses sont enregistrées sur le portail web (webmail) et non sur un logiciel sur votre propre appareil pour vous connecter..

Le pire est à venir…
Le pire est de faire une confiance aveugle envers votre serveur de messagerie. Ces serveurs ne sont pas infaillibles.
Ainsi, en 2012, Orange s’est fait dérobé 800000 comptes et carnets d’adresses, comprenant chacun des dizaines voire des centaines ou plus d’adresses mail.
Puis, en 2014, ce sont 1,3 milliards supplémentaires qui ont été dérobés : https://www.lefigaro.fr/secteur/high-tech/2014/05/06/32001-20140506ARTFIG00330-orange-se-fait-a-nouveau-derober-des-donnees-personnelles-de-clients.php

En 2013, Yahoo s’est fait dérober 3 milliards de comptes, oui vous avez bien lu, 3 milliards : https://www.lefigaro.fr/secteur/high-tech/2017/10/04/32001-20171004ARTFIG00094-le-piratage-de-yahoo-en-2013-a-finalement-touche-ses-3-milliards-de-comptes.php
Etc.

L’utilisation de ces adresses frauduleusement acquises, peut mettre un certain temps avant que de se faire jour.

Vous voyez ô combien il est primordial de posséder ET le carnet d’adresses ET le logiciel de mails en local, sur son ordinateur.
Nb : Sur Mac, il s’agit respectivement de : Carnet d’Adresses et Apple Mail.

On voit là que ce sont bien la plupart des internautes, qui participent à faire perdurer ces pratiques frauduleuses.

Au final

 

Ce qui me dérange le plus dans tout ça, c’est que ce site a été créé aux USA par un type qui nous démontre avoir suivi moult cursus (très impressionnants) de formation, et qu’au final le travail livré à ses clients, est loin d’être sûr et efficace.
De plus, le travail de création de site ne se cantonne pas au seul fait de livrer le site au client. Il doit y avoir un suivi, un contrôle.
Ce que Pictopagina propose au travers de son contrat annuel de maintenance.

Je me doute de plus, que ses tarifs doivent largement être au dessus de ceux pratiqués par Pictopagina.

Il n’indique sans doute même pas à ses clients, que ceux-ci sont redevables de la conformité juridique.
Aux USA, à tout le moins : Mentions légales et CGV

 

Voir son site : https://hardikgoyal.com
Son slogan :
 EnCE | Software Engineer | Cyber Security Enthusiast


Je pense qu’il devrait s’en tenir à son (impressionnant) travail d’ingénieur chez Google…
Chacun son métier, les vaches seront bien gardées…

logo-pictopagina-logo-header-white
Bravo à tous ceux qui auront lu cet article jusqu’au bout, en espérant qu’il vous plaise.

Un commentaire

  1. Je rencontre souvent des personnes qui pensent que créer un site internet, surtout sous WordPress, n’est pas si difficile que cela.
    Ben voyons… Ce qui apparait à l’écran n’est que la partie émergée de l’iceberg.

    J’ai même vu un post d’une personne (dame âgée, pour la petite histoire) suggérant à d’autres, d’essayer de faire leur site eux-même, parce que le demander aux professionnels est trop cher.
    Mais peut-être (sûrement en fait) est-ce parce qu’il y a une raison !

    J’ai indiqué au site piraté qu’il l’était, tout comme j’ai signalé en ce début 2020 à PoltroneSofa qu’il l’était également. Mais ceux-ci ne m’ont jamais répondu… ça en dit long…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée Champs requis marqués avec *

Publier des commentaires

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.