l’Almanet doLys Gnu/Linux – Open Source – Entreprises › Forums › L’almanet doLys Open Source › Analyse d’une tentative de phishing
Mots-clés : phishing, Sécurité site, sécurité wordpress
- This topic has 0 réponse, 1 participant, and was last updated il y a 7 years et 10 months by nam1962.
-
AuteurArticles
-
février 7, 2017 à 12:19 pm #3878nam1962Keymaster
Et hop ! J’ai été l’objet d’une tentative de phishing !
(Un vilain hacker a tenté de me subtiliser le mots de passe et l’identifiant d’un de mes sites).
Ce papier pour vous décrire la méthode et vous permettre à vous aussi d’éviter le phishing, les ennuis et pertes de temps qui vont avec (ransomware, vol de fichier d’utilisateurs ou de fichier clients, problème d’image… )
Pour comprendre ma situation : j’utilise par précaution un registrar distinct de mon hébergeur.
Chez celui-ci je suis sur un serveur mutualisé avec Cpanel comme outil de gestion.
Vous verrez que ça n’a pas bloqué mon hacker !
La méthode de phishing
Je reçois un mail à partir de mon adresse anonymisée chez mon registrar : moi-même.123@ spamfree.monregistrar.com (donc forcément ça passe tous les filtres antispam et ça fait sérieux)
Sujet : Action required: cPanel-mondomaine.com (avec le vrai nom de mon domaine)
Émetteur : le service mail d’un gros hébergeur américain, à priori légitime : contact@ serveurmail.net (là aussi ça fait sérieux)
Contenu :
Tout ceci étant, j’avais déjà des doutes : on reçoit rarement un courrier sur une adresse administrative de domaine et par ailleurs, il y a belle lurette que mes DNS ont été propagées.
Bien sûr je n’ai pas cliqué sur le bouton (ne le faîtes jamais : cela indique tout de suite à l’émetteur que vous avez réagi à sa tentative !) par contre, j’ai été voir le code source du message.
Le bouton « check it out ! » pointait vers : http:// cPanel.mondomaine.com.2083.unsite.world/?cpanel=mondomaine.com
(on remarquera que le login classique de cpanel est : https:// monhébergeur.net:2083 : le gars est astucieux, voir « 2083 » rassure)
– J’ai été voir http:// unsite.world : c’est un site de voyage à priori légitime, ça a attisé ma curiosité.
– J’ai été voir http:// 2083.unsite.world (2083. indique un sous-domaine, donc le site à priori légitime de voyage s’est sans doute fait hacker : truc.site.com est une adresse classique pour un sous-domaine d’un site site.com )Et là BAM ! redirigé vers une interface de login Cpanel (avec là encore une adresse qui peut laisser penser à un truc officiel) : http:// cpanel–2083.dns-propagation-delay.id4458.lesiteduhacker.com/
Là je me suis amusé à entrer de grosses insultes comme login et password et j’ai été redirigé vers une page légitime de la documentation de cpanel sur le sujet DNS : https://documentation.cpanel.net/…
L’analyse du phishing
C’est assez sophistiqué :
– mon organisation a été analysée (mon type d’hébergement, mon adresse mail whois)
– un site intermédiaire a probablement été hacké
– le webmaster amateur qui ne jette qu’un coup d’œil distrait à la barre d’adresses peut-être dupé (voire vaguement rassuré par l’écran de sortie).
– bien sûr, si il clique sur le bouton, le phisher est prévenu deux fois :
1. par l’adresse : http:// cPanel.mondomaine.com.2083.unsite.world/
2. par la référence : ?cpanel=mondomaine.com qui lui indique bien qui a cliqué (celui qui a reçu son mail).J’ai donc alerté le gros hébergeur US en mettant en copie mon registrar et mon hébergeur.
Morale de l’histoire : même si c’est fastidieux, dès qu’un mail sort de la norme, pensez à regarder son code source !
Le premier pare-feu de notre site, c’est nous.
En complément de cet article, je vous propose mon tuto sur la sécurité des mails 😉
[Edit] Ah ! J’y pense : privilégiez toujours le client mail au webmail (le webmail peut décider de vous restreindre les informations disponibles sur VOS mails). J’utilise Thunderbird pour cela !
N’hésitez pas à poser des questions sur cet article, grâce à vous il pourra s’améliorer.
Si vous avez des questions sur votre cas particulier, je serai ravi d’y répondre à titre professionnel.
[dkpdf-button]
Un jeune site que j'aime bien, la ferrari du T-shirt ...bio en plus : GoudronBlanc
-
AuteurArticles
- Vous devez être connecté pour répondre à ce sujet.