Ethylotest Gratuit : spammer, mais pas phisher

Si vous avez suivi ce matin les déboires de Seb Sauvage et l’article que nous lui avons consacré, vous verrez en commentaires un lien sur un mail de phishing aux couleurs du site ethylotest-gratuit. Nous nous sommes procuré le mail de phishing en question (merci @bertrandlemaire) pour l’analyser de plus près avant de tirer toute conclusion hâtive à l’encontre de notre spammeur. Nous vous livrons ici nos constatations qui pour le coup devraient intéresser de manière un peu plus constructive le dirigeant d’Ethylotest Gratuit.

Le phishing

Le phishing consiste en un email frauduleux, souvent en usurpant l’identité d’une société, ou d’une institution, dans le but de récupérer des informations personnelles. Envoyés en masse, ce sont souvent des centaines, voir des milliers de personnes qui se font piéger, divulguant informations personnelles, souvent bancaires à des tiers mal intentionnés. Parmi les plus célèbres on comptera le classique Paypal, ceux ciblant vos fournisseurs d’accès et vos données personnelles qui y sont attachées, ou encore celui expliqué sur le blog d’Eric Freyssinet usurpant la charte graphique de la gendarmerie nationale.

La nouvelle législation française sur les éthylotests est une occasion rêvée pour quelques petits malins, c’est ce qu’il s’est produit pour le site ethylotest-gratuit, victime (et oui !) de l’un de ces cyber-escrocs.

Les éléments matériels

Un internaute via Twitter nous signale ce tweet, nous nous procurons le mail en question pour en analyser le source. L’email, présente les couleurs de la préfecture de l’Aube, une administration.

 Dans les fichiers joints en cliquant sur le lien de ce mail à l’apparence officielle, on découvre cette page :

Elle porte les couleurs du site ethylotest-gratuit.org, comme ce code nous le confirme.. mais avec une petite subtilité

 Le code source nous indique que ce mail n’a de la préfecture de l’Aube que quelques vagues couleurs, et du lien vers lequel il renvoi, les couleurs d’ethylotest-gratuit.org… mais juste les couleurs, car en regardant un peu plus bas dans le source, on a la procédure de commande et de paiement. C’est là que l’on découvre ceci :

Ce phishing est donc un patchwork de code de sites vendant des ethylotests

On regarde vers la fin de la procédure d’achat


Nous avons compris comment le mail était graphiquement construit, nous allons maintenant regarder vers quels cieux s’envolent les informations bancaires des victimes qui ne recevront évidemment jamais leur éthylotest. Pour ceci nous allons tout simplement complèter le formulaire et capturer le trafic sortant de notre machine pour voir ce qui sort mais surtout vers où. Avec Wireshark par exemple, on obtient ceci :

Une adresse IP apparait : 217.160.64.59 un serveur hébergé par l’allemand 1&1. ET c’est bien cette adresse IP qui est intéressante. Un petit host de rien du tout et nous obtenons ce nom de domaine en retour :

bluetouff$ host 217.160.64.59
59.64.160.217.in-addr.arpa domain name pointer forevercreative.net.

Un whois sur le site forevercreative.net nous renverra ceci :

bluetouff$ whois forevercreative.net
Whois Server Version 2.0
Domain names in the .com and .net domains can now be registered
with many different competing registrars. Go to http://www.internic.net
for detailed information.
Domain Name: FOREVERCREATIVE.NET
 Registrar: WEBFUSION LTD.
 Whois Server: whois.123-reg.co.uk
 Referral URL: http://www.123-reg.co.uk
 Name Server: NS67.1AND1.CO.UK
 Name Server: NS68.1AND1.CO.UK
 Status: ok
 Updated Date: 18-jul-2012
 Creation Date: 04-jul-2012
 Expiration Date: 04-jul-2013

Fort probablement le serveur d’une entreprise d’origine britannique hébergé par 1&1 qui a été piraté. C’est à cette entreprise et à l’hébergeur que le dirigeant d’ethylotest-gratuit devra s’adresser pour faire cesser le phishing. Le phisher, lui, s’il est pas trop con, devrait, comme souvent, s’en tirer les doigts dans le nez. Moralité, il ne faut évidemment pas se fier aux apparences, surtout quand les apparences sont faites de pixels.

Twitter Facebook Google Plus email


9 thoughts on “Ethylotest Gratuit : spammer, mais pas phisher”

  1. Bon, le spammeur s’est fait griller.
    Pas mal. Mais ça ne retire rien au fait qu’il soit un spammeur.
    Et que visiblement, son business ressemble à de « l’abus de confiance » ‘je ne suis pas sûr du terme, je ne suis pas juriste.
    Le fait de demander vos deux éthylotests « gratuits » (0,99 euros) fait que vous vous retrouvez en fait avec un abonnement de 29 euros mensuels pour 8 éthylo. mensuels !

    Voir les commentaires de l’article de 60 millions, dont Reflets parlait ce matin :
    http://www.60millions-mag.com/temoignez/forums/forums/commerce_en_ligne/ethylotest/%28offset%29/20/%28afficher%29/20

  2. En plus de vous respecter et de vous suivre, bien que vous soyez de vilains crypto-anarcho-hack-journalists ™, vous êtes en plus des justes (dans le sens du livre éponyme de Camus). Que l’affaire ethylotest-gratuit soit « fessable avec une pelle », ok, normal. Que cette boite à 100€ soit accusée à tort,c’est moins classe. Merci à toi Bluetouff pour cet article. My 2 cents…

  3. Mince, je ne pensais pas que le fishing pouvait être aussi bien réalisé…
    J’ai toujours pensé que c’était des mails qui se reconnaissaient facilement: fautes d’orthographes, adresse d’envoi bidon, etc.
    Seul le nom « Le Gouvernement Français » aurait pu me mettre le puce à l’oreille, sinon je me serais fais piéger si j’avais été intéressé…
    Merci et continuez comme ça!

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *