Opération Phishing sur la France

phishing_fr_netflix_banque_pop_ameli_ca

Grosse Opération de phishing sur l'hexagone

Zataz vient de mettre à jour une vaste cyberattaque ciblant la France. Cette opération de phishing, ou appelé aussi hameçonnage découverte le 9 juin 2022, est particulièrement bien conçue.

Pour rappel, le phishing est une forme d’escroquerie sur internet. Un hacker va se faire passer pour un organisme que vous connaissez (CAF, banques, services de streaming ou services des impôts) dans le but que vous lui fournissiez des informations pour une future usurpation d’identité.  Cela peut aller du vol d’information bancaire, de mot de passe à votre identité complète.

Une attaque finement menée

Maintenant que les bases sont posées, vous comprenez que le pirate doit finement jouer son coup. La plupart du temps on voit arriver à 10 kilomètres l’arnaque. Logo pas à jour ou mal placé, fautes d’orthographe, page mal formatée. Plein de petits détails qui nous mettent la puce à l’oreille. Et bien sur, la première chose que l’on regarde, le lien sur lequel on va cliquer.

 Et il faut rendre à César ce qui appartient à César. Ici c’est du très beau travail. La conception de la page est ultra propre et le pirate a en plus à sa disposition des noms de domaines jouant sur la typo.

Cette technique s appelle le typo squatting. Vous en avez déjà fait l’expérience en recopiant un mot de passe WIFI ou autre, la grande question est-ce un O ou un Zéro? , ou bien encore c’est un l ou I majuscule.

Ici le pirate a donc changer les L en i dans ses noms de domaines et le tour est joué. En effet sur les smartphone il est très difficile de se rendre compte de la différence.

Il a ainsi envoyé plusieurs milliers de SMS en ciblant la France et plusieurs de nos entreprises. Un travail méticuleux qui a du prendre du temps pour tout mettre en place et qui a sûrement piégé plusieurs personnes.

Pour contrer cette attaque, prévenez vos proches de faire attention aux SMS reçus.

Capture decran 2022 06 14 a 19.47.20

Analyse

Voyons voir un peu ce que l’on peut apprendre de cette attaque avec un peu de footprinting.

On va commencer par un simple Whois sur le nom de domaine.

				
					whois assurance-maiadie.com  
   Domain Name: ASSURANCE-MAIADIE.COM
   Registry Domain ID: 2695289995_DOMAIN_COM-VRSN
   Registrar WHOIS Server: whois.reg.com
   Registrar URL: http://www.reg.ru
   Updated Date: 2022-05-11T00:34:17Z
   Creation Date: 2022-05-11T00:34:15Z
   Registry Expiry Date: 2023-05-11T00:34:15Z
   Registrar: REGISTRAR OF DOMAIN NAMES REG.RU LLC
   Registrar IANA ID: 1606
   Registrar Abuse Contact Email: abuse@reg.ru
   Registrar Abuse Contact Phone: +74955801111
   Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
   Name Server: NS1.REG.RU
   Name Server: NS2.REG.RU

Faisons un simple ping sur le nom de domaine :

				
					ping assurance-maiadie.com   
PING assurance-maiadie.com (91.241.19.120) 56(84) bytes of data.
64 bytes from 91.241.19.120 (91.241.19.120): icmp_seq=1 ttl=51 time=204 ms

Lorsque l’on géolocalise l’ip elle se situe en russie tout comme le registrar.Enfin un nmap montre qu’il y  a pas mal de ports ouverts.

				
					Starting Nmap 7.92 ( https://nmap.org ) at 2022-06-14 20:10 UTC
Nmap scan report for 91.241.19.120
Host is up (0.077s latency).
Not shown: 982 closed tcp ports (reset)
PORT     STATE SERVICE       VERSION
21/tcp   open  ftp           ProFTPD
22/tcp   open  ssh           OpenSSH 7.4p1 Debian 10+deb9u7 (protocol 2.0)
25/tcp   open  smtp          Postfix smtpd
53/tcp   open  domain        (unknown banner: none)
80/tcp   open  http          nginx
82/tcp   open  tcpwrapped
84/tcp   open  tcpwrapped
106/tcp  open  tcpwrapped
110/tcp  open  pop3          Dovecot pop3d
143/tcp  open  imap          Dovecot imapd
443/tcp  open  ssl/http      nginx
465/tcp  open  ssl/smtp      Postfix smtpd
554/tcp  open  rtsp?
993/tcp  open  ssl/imap      Dovecot imapd
995/tcp  open  ssl/pop3      Dovecot pop3d
1723/tcp open  tcpwrapped
5060/tcp open  sip?
8443/tcp open  ssl/https-alt sw-cp-server

En interrogeant le port 8443 on voit que c est un serveur plesk tout beau tout propre, soit mise à jour soit fraîchement installé.

Le truc relativement bizarre est l invite d’url qu il propose :

https://dreamy-bhabha.91-241-19-120.plesk.page:8443

Le terme « dreamy bhabha » est d ailleurs retrouvé dans pas mal de petit lien de crack, peut être que le hacker a laissé la une trace en prenant le serveur en Russie se disant de toute façon qu’il ne craignait pas grand chose.

 

163585

En fouillant un peu sur via google, on trouve juste une photo qui traîne. Est ce vraiment le hacker ? ou juste une façade?

A l’heure actuelle on ne peut le savoir, néanmoins il est a espérer que les services de l’ANSSI feront le nécessaire auprès des fournisseurs d’accès téléphonique.

 

Twitter
LinkedIn
WhatsApp
Reddit
Facebook
6ber-network

6ber-network

En lire plus de cet auteur »

Vous avez besoin d'aide ?

Contactez nous !!!

6ber-network est un site francophone d’informations et de formations sur la Cyber-Sécurité.

  • Tutorials
  • Resources
  • Guides
  • Docs

A Propos

  • Community
  • Blog