Ethylotest Gratuit : spammer, mais pas phisher
Si vous avez suivi ce matin les déboires de Seb Sauvage et l'article que nous lui avons consacré, vous verrez en commentaires un lien sur un mail de phishing aux couleurs du site ethylotest-gratuit. Nous nous sommes procuré le mail de phishing en question (merci @bertrandlemaire) pour l'analyser de plus près avant de tirer toute conclusion hâtive à l'encontre de notre spammeur.
Si vous avez suivi ce matin les déboires de Seb Sauvage et l'article que nous lui avons consacré, vous verrez en commentaires un lien sur un mail de phishing aux couleurs du site ethylotest-gratuit. Nous nous sommes procuré le mail de phishing en question (merci @bertrandlemaire) pour l'analyser de plus près avant de tirer toute conclusion hâtive à l'encontre de notre spammeur. Nous vous livrons ici nos constatations qui pour le coup devraient intéresser de manière un peu plus constructive le dirigeant d'Ethylotest Gratuit.
Le phishing
Le phishing consiste en un email frauduleux, souvent en usurpant l'identité d'une société, ou d'une institution, dans le but de récupérer des informations personnelles. Envoyés en masse, ce sont souvent des centaines, voir des milliers de personnes qui se font piéger, divulguant informations personnelles, souvent bancaires à des tiers mal intentionnés. Parmi les plus célèbres on comptera le classique Paypal, ceux ciblant vos fournisseurs d'accès et vos données personnelles qui y sont attachées, ou encore celui expliqué sur le blog d'Eric Freyssinet usurpant la charte graphique de la gendarmerie nationale.
La nouvelle législation française sur les éthylotests est une occasion rêvée pour quelques petits malins, c'est ce qu'il s'est produit pour le site ethylotest-gratuit, victime (et oui !) de l'un de ces cyber-escrocs.
Les éléments matériels
Un internaute via Twitter nous signale ce tweet, nous nous procurons le mail en question pour en analyser le source. L'email, présente les couleurs de la préfecture de l'Aube, une administration.
Dans les fichiers joints en cliquant sur le lien de ce mail à l'apparence officielle, on découvre cette page :
Elle porte les couleurs du site ethylotest-gratuit.org, comme ce code nous le confirme.. mais avec une petite subtilité
Le code source nous indique que ce mail n'a de la préfecture de l'Aube que quelques vagues couleurs, et du lien vers lequel il renvoi, les couleurs d'ethylotest-gratuit.org... mais juste les couleurs, car en regardant un peu plus bas dans le source, on a la procédure de commande et de paiement. C'est là que l'on découvre ceci :
Ce phishing est donc un patchwork de code de sites vendant des ethylotests
On regarde vers la fin de la procédure d'achat
Nous avons compris comment le mail était graphiquement construit, nous allons maintenant regarder vers quels cieux s'envolent les informations bancaires des victimes qui ne recevront évidemment jamais leur éthylotest. Pour ceci nous allons tout simplement complèter le formulaire et capturer le trafic sortant de notre machine pour voir ce qui sort mais surtout vers où. Avec Wireshark par exemple, on obtient ceci :
Une adresse IP apparait : 217.160.64.59 un serveur hébergé par l'allemand 1&1. ET c'est bien cette adresse IP qui est intéressante. Un petit host de rien du tout et nous obtenons ce nom de domaine en retour :
bluetouff$ host 217.160.64.59
59.64.160.217.in-addr.arpa domain name pointer forevercreative.net.
Un whois sur le site forevercreative.net nous renverra ceci :
bluetouff$ whois forevercreative.net
Whois Server Version 2.0
Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.
Domain Name: FOREVERCREATIVE.NET
Registrar: WEBFUSION LTD.
Whois Server: whois.123-reg.co.uk
Referral URL: http://www.123-reg.co.uk
Name Server: NS67.1AND1.CO.UK
Name Server: NS68.1AND1.CO.UK
Status: ok
Updated Date: 18-jul-2012
Creation Date: 04-jul-2012
Expiration Date: 04-jul-2013
Fort probablement le serveur d'une entreprise d'origine britannique hébergé par 1&1 qui a été piraté. C'est à cette entreprise et à l'hébergeur que le dirigeant d'ethylotest-gratuit devra s'adresser pour faire cesser le phishing. Le phisher, lui, s'il est pas trop con, devrait, comme souvent, s'en tirer les doigts dans le nez. Moralité, il ne faut évidemment pas se fier aux apparences, surtout quand les apparences sont faites de pixels.