Analyse d’une tentative de phishing

Ce sujet a 0 réponse, 1 participant et a été mis à jour par nam1962 nam1962, il y a 1 an et 9 mois.

Affichage de 1 message (sur 1 au total)
  • Auteur
    Messages
  • #3878
    nam1962
    nam1962
    Admin bbPress

    Et hop ! J’ai été l’objet d’une tentative de phishing !

    (Un vilain hacker a tenté de me subtiliser le mots de passe et l’identifiant d’un de mes sites).

    Ce papier pour vous décrire la méthode et vous permettre à vous aussi d’éviter le phishing,  les ennuis et pertes de temps qui vont avec (ransomware, vol de fichier d’utilisateurs ou de fichier clients, problème d’image… )

    Pour comprendre ma situation : j’utilise par précaution un registrar distinct de mon hébergeur.

    Chez celui-ci je suis sur un serveur mutualisé avec Cpanel comme outil de gestion.

    Vous verrez que ça n’a pas bloqué mon hacker !

    La méthode de phishing

    Je reçois un mail à partir de mon adresse anonymisée chez mon registrar : moi-même.123@ spamfree.monregistrar.com (donc forcément ça passe tous les filtres antispam et ça fait sérieux)

    Sujet : Action required: cPanel-mondomaine.com (avec le vrai nom de mon domaine)

    Émetteur : le service mail d’un gros hébergeur américain, à priori légitime : contact@ serveurmail.net (là aussi ça fait sérieux)

    Contenu :

    Tout ceci étant, j’avais déjà des doutes : on reçoit rarement un courrier sur une adresse administrative de domaine et par ailleurs, il y a belle lurette que mes DNS ont été propagées.

    Bien sûr je n’ai pas cliqué sur le bouton (ne le faîtes jamais : cela indique tout de suite à l’émetteur que vous avez réagi à sa tentative !) par contre, j’ai été voir le code source du message.

    Le bouton “check it out !” pointait vers : http:// cPanel.mondomaine.com.2083.unsite.world/?cpanel=mondomaine.com

    (on remarquera que le login classique de cpanel est : https:// monhébergeur.net:2083 : le gars est astucieux, voir “2083” rassure)

    – J’ai été voir http:// unsite.world : c’est un site de voyage à priori légitime, ça a attisé ma curiosité.
    – J’ai été voir http:// 2083.unsite.world  (2083. indique un sous-domaine, donc le site à priori légitime de voyage s’est sans doute fait hacker : truc.site.com est une adresse classique pour un sous-domaine d’un site site.com )

    Et là BAM ! redirigé vers une interface de login Cpanel (avec là encore une adresse qui peut laisser penser à un truc officiel) : http:// cpanel–2083.dns-propagation-delay.id4458.lesiteduhacker.com/

     

    Là je me suis amusé à entrer de grosses insultes comme login et password et j’ai été redirigé vers une page légitime de la documentation de cpanel sur le sujet DNS : https://documentation.cpanel.net/

    L’analyse du phishing

    C’est assez sophistiqué :

    – mon organisation a été analysée (mon type d’hébergement, mon adresse mail whois)
    – un site intermédiaire a probablement été hacké
    – le webmaster amateur qui ne jette qu’un coup d’œil distrait à la barre d’adresses peut-être dupé (voire vaguement rassuré par l’écran de sortie).
    – bien sûr, si il clique sur le bouton, le phisher est prévenu deux fois :
    1. par l’adresse : http:// cPanel.mondomaine.com.2083.unsite.world/
    2. par la référence : ?cpanel=mondomaine.com qui lui indique bien qui a cliqué (celui qui a reçu son mail).

    J’ai donc alerté le gros hébergeur US en mettant en copie mon registrar et mon hébergeur.

    Morale de l’histoire : même si c’est fastidieux, dès qu’un mail sort de la norme, pensez à regarder son code source !

    Le premier pare-feu de notre site, c’est nous.

    En complément de cet article, je vous propose mon tuto sur la sécurité des mails 😉

    [Edit] Ah ! J’y pense : privilégiez toujours le client mail au webmail (le webmail peut décider de vous restreindre les informations disponibles sur VOS mails). J’utilise Thunderbird pour cela !

    N’hésitez pas à poser des questions sur cet article, grâce à vous il pourra s’améliorer.

    Si vous avez des questions sur votre cas particulier, je serai ravi d’y répondre à titre professionnel.

    [dkpdf-button]


    ? Un jeune site que j'aime bien, la ferrari du T-shirt  ...bio en plus : https://goudronblanc.com
    C'est notre mécène ! 🙂

Affichage de 1 message (sur 1 au total)

Vous devez être connecté pour répondre à ce sujet.