Journal d'investigation en ligne et d'information‑hacking
par bluetouff

Ethylotest Gratuit : spammer, mais pas phisher

Si vous avez suivi ce matin les déboires de Seb Sauvage et l'article que nous lui avons consacré, vous verrez en commentaires un lien sur un mail de phishing aux couleurs du site ethylotest-gratuit. Nous nous sommes procuré le mail de phishing en question (merci @bertrandlemaire) pour l'analyser de plus près avant de tirer toute conclusion hâtive à l'encontre de notre spammeur.

Si vous avez suivi ce matin les déboires de Seb Sauvage et l'article que nous lui avons consacré, vous verrez en commentaires un lien sur un mail de phishing aux couleurs du site ethylotest-gratuit. Nous nous sommes procuré le mail de phishing en question (merci @bertrandlemaire) pour l'analyser de plus près avant de tirer toute conclusion hâtive à l'encontre de notre spammeur. Nous vous livrons ici nos constatations qui pour le coup devraient intéresser de manière un peu plus constructive le dirigeant d'Ethylotest Gratuit.

Le phishing

Le phishing consiste en un email frauduleux, souvent en usurpant l'identité d'une société, ou d'une institution, dans le but de récupérer des informations personnelles. Envoyés en masse, ce sont souvent des centaines, voir des milliers de personnes qui se font piéger, divulguant informations personnelles, souvent bancaires à des tiers mal intentionnés. Parmi les plus célèbres on comptera le classique Paypal, ceux ciblant vos fournisseurs d'accès et vos données personnelles qui y sont attachées, ou encore celui expliqué sur le blog d'Eric Freyssinet usurpant la charte graphique de la gendarmerie nationale.

La nouvelle législation française sur les éthylotests est une occasion rêvée pour quelques petits malins, c'est ce qu'il s'est produit pour le site ethylotest-gratuit, victime (et oui !) de l'un de ces cyber-escrocs.

Les éléments matériels

Un internaute via Twitter nous signale ce tweet, nous nous procurons le mail en question pour en analyser le source. L'email, présente les couleurs de la préfecture de l'Aube, une administration.

 Dans les fichiers joints en cliquant sur le lien de ce mail à l'apparence officielle, on découvre cette page :

Elle porte les couleurs du site ethylotest-gratuit.org, comme ce code nous le confirme.. mais avec une petite subtilité

 Le code source nous indique que ce mail n'a de la préfecture de l'Aube que quelques vagues couleurs, et du lien vers lequel il renvoi, les couleurs d'ethylotest-gratuit.org... mais juste les couleurs, car en regardant un peu plus bas dans le source, on a la procédure de commande et de paiement. C'est là que l'on découvre ceci :

Ce phishing est donc un patchwork de code de sites vendant des ethylotests

On regarde vers la fin de la procédure d'achat

Nous avons compris comment le mail était graphiquement construit, nous allons maintenant regarder vers quels cieux s'envolent les informations bancaires des victimes qui ne recevront évidemment jamais leur éthylotest. Pour ceci nous allons tout simplement complèter le formulaire et capturer le trafic sortant de notre machine pour voir ce qui sort mais surtout vers où. Avec Wireshark par exemple, on obtient ceci :

Une adresse IP apparait : 217.160.64.59 un serveur hébergé par l'allemand 1&1. ET c'est bien cette adresse IP qui est intéressante. Un petit host de rien du tout et nous obtenons ce nom de domaine en retour :

bluetouff$ host 217.160.64.59

59.64.160.217.in-addr.arpa domain name pointer forevercreative.net.

Un whois sur le site forevercreative.net nous renverra ceci :

bluetouff$ whois forevercreative.net
Whois Server Version 2.0
Domain names in the .com and .net domains can now be registered

with many different competing registrars. Go to http://www.internic.net

for detailed information.
Domain Name: FOREVERCREATIVE.NET

 Registrar: WEBFUSION LTD.

 Whois Server: whois.123-reg.co.uk

 Referral URL: http://www.123-reg.co.uk

 Name Server: NS67.1AND1.CO.UK

 Name Server: NS68.1AND1.CO.UK

 Status: ok

 Updated Date: 18-jul-2012

 Creation Date: 04-jul-2012

 Expiration Date: 04-jul-2013

Fort probablement le serveur d'une entreprise d'origine britannique hébergé par 1&1 qui a été piraté. C'est à cette entreprise et à l'hébergeur que le dirigeant d'ethylotest-gratuit devra s'adresser pour faire cesser le phishing. Le phisher, lui, s'il est pas trop con, devrait, comme souvent, s'en tirer les doigts dans le nez. Moralité, il ne faut évidemment pas se fier aux apparences, surtout quand les apparences sont faites de pixels.

0 Commentaires
Une info, un document ? Contactez-nous de façon sécurisée