Analyse d’une tentative de phishing

[nam1962]

Et hop ! J’ai été l’objet d’une tentative de phishing !

(Un vilain hacker a tenté de me subtiliser le mots de passe et l’identifiant d’un de mes sites).

Ce papier pour vous décrire la méthode et vous permettre à vous aussi d’éviter le phishing,  les ennuis et pertes de temps qui vont avec (ransomware, vol de fichier d’utilisateurs ou de fichier clients, problème d’image… )

Pour comprendre ma situation : j’utilise par précaution un registrar distinct de mon hébergeur.

Chez celui-ci je suis sur un serveur mutualisé avec Cpanel comme outil de gestion.

Vous verrez que ça n’a pas bloqué mon hacker !

La méthode de phishing

Je reçois un mail à partir de mon adresse anonymisée chez mon registrar : moi-même.123@ spamfree.monregistrar.com (donc forcément ça passe tous les filtres antispam et ça fait sérieux)

Sujet : Action required: cPanel-mondomaine.com (avec le vrai nom de mon domaine)

Émetteur : le service mail d’un gros hébergeur américain, à priori légitime : contact@ serveurmail.net (là aussi ça fait sérieux)

Contenu :

Tout ceci étant, j’avais déjà des doutes : on reçoit rarement un courrier sur une adresse administrative de domaine et par ailleurs, il y a belle lurette que mes DNS ont été propagées.

Bien sûr je n’ai pas cliqué sur le bouton (ne le faîtes jamais : cela indique tout de suite à l’émetteur que vous avez réagi à sa tentative !) par contre, j’ai été voir le code source du message.

Le bouton « check it out ! » pointait vers : http:// cPanel.mondomaine.com.2083.unsite.world/?cpanel=mondomaine.com

(on remarquera que le login classique de cpanel est : https:// monhébergeur.net:2083 : le gars est astucieux, voir « 2083 » rassure)

– J’ai été voir http:// unsite.world : c’est un site de voyage à priori légitime, ça a attisé ma curiosité.
– J’ai été voir http:// 2083.unsite.world  (2083. indique un sous-domaine, donc le site à priori légitime de voyage s’est sans doute fait hacker : truc.site.com est une adresse classique pour un sous-domaine d’un site site.com )

Et là BAM ! redirigé vers une interface de login Cpanel (avec là encore une adresse qui peut laisser penser à un truc officiel) : http:// cpanel–2083.dns-propagation-delay.id4458.lesiteduhacker.com/

 

Là je me suis amusé à entrer de grosses insultes comme login et password et j’ai été redirigé vers une page légitime de la documentation de cpanel sur le sujet DNS : https://documentation.cpanel.net/…

L’analyse du phishing

C’est assez sophistiqué :

– mon organisation a été analysée (mon type d’hébergement, mon adresse mail whois)
– un site intermédiaire a probablement été hacké
– le webmaster amateur qui ne jette qu’un coup d’œil distrait à la barre d’adresses peut-être dupé (voire vaguement rassuré par l’écran de sortie).
– bien sûr, si il clique sur le bouton, le phisher est prévenu deux fois :
1. par l’adresse : http:// cPanel.mondomaine.com.2083.unsite.world/
2. par la référence : ?cpanel=mondomaine.com qui lui indique bien qui a cliqué (celui qui a reçu son mail).

J’ai donc alerté le gros hébergeur US en mettant en copie mon registrar et mon hébergeur.

Morale de l’histoire : même si c’est fastidieux, dès qu’un mail sort de la norme, pensez à regarder son code source !

Le premier pare-feu de notre site, c’est nous.

En complément de cet article, je vous propose mon tuto sur la sécurité des mails 😉

[Edit] Ah ! J’y pense : privilégiez toujours le client mail au webmail (le webmail peut décider de vous restreindre les informations disponibles sur VOS mails). J’utilise Thunderbird pour cela !

N’hésitez pas à poser des questions sur cet article, grâce à vous il pourra s’améliorer.

Si vous avez des questions sur votre cas particulier, je serai ravi d’y répondre à titre professionnel.

[dkpdf-button]

Un jeune site que j'aime bien, la ferrari du T-shirt ...bio en plus : GoudronBlanc

[Auteur]

Articles