Phishing : petite analyse d’un phishing Free pas mal fichu

phishingC’est l’ami DS45 qui le signalait ce matin sur son blog. Un phishing vraiment bien fichu visant les abonnés de Free. Bien fichu oui car propre, pas de caractères russes ou chinois dans le code html, une orthographe plutôt correcte en comparaison de ce qu’on a l’habitude de voir (seul les accents manquent, ce qui évite les erreur d’encoding de caractères)… ensuite techniquement, ça vaut ce que ça vaut, mais ceci suffira certainement à piéger des centaines de freenautes. Jetons y un oeil.

Commençons par le screenshot de DS45 qui révèle les URL destinées à piéger les freenautes, notez que l’url originale de Free a été placée dans la balise alt :

phishing freeLa capture nous révèle que l’URL destinée à accueillir identifiants et mots de passe des freenautes abusés est http://secretplans.com/* il s’agit simplement d’une installation d’OSCommerce le CMS de ecommerce, qui a été compromise. On peut la trouver ici : http://www.secretplants.com/catalog/. Le serveur semble d’origine américaine, il est hébergé chez Liquidnet.

On notera à l’oeil nu, sans aucune manipulation que la page falsifiée est un peu curieuse puisqu’elle propose de vous identifier et dans le même temps, on notera la présence d’un bouton de déconnexion :

free fake

Sur la page originale de Free, ci-dessous, on ce bouton de déconnexion n’existe évidemment pas

free login

En examinant le source de la page de phishing, on trouve ce bout de code :

<script type="text/javascript" src="etap1_fichiers/jquery_002.js"></script>    <script type="text/javascript" src="etap1_fichiers/jquery.js"></script>    <script type="text/javascript" src="etap1_fichiers/general.js"></script>    <script type="text/javascript" src="etap1_fichiers/mon-compte.js"></script>

et plus loin celui ci :

<script type="text/javascript" language="javascript" src="etap1_fichiers/moncompte.js"></script><script type="text/javascript" src="etap1_fichiers/adserv.js"></script><noscript><img src="http://cstatic.weborama.fr/weborama/images/transp.gif" width="728" height="90" border="0" alt=""></noscript><script type="text/javascript" src="etap1_fichiers/aserv.htm"></script><noscript><img src="http://cstatic.weborama.fr/weborama/images/transp.gif" width="728" height="90" border="0" alt=""></noscript>

Ceci nous renseigne sur la présence de ce répertoire « etap1_fichiers »

Du coup, en nous rendant sur cette url :

http://www.secretplants.com/catalog/adsl.html/etap1_fichiers/

… on découvre naturellement le petits dessous de notre phisher

Allons un peu plus loin et rentrons des identifiants bidons, s’il y a un répertoire etape 1, c’est surement qu’il y a une étape 2… bingo, voici une page verify.php qui se propose d’aspirer votre identité complète, étae que Free ne proposera jamais lors d’une identification.

verifyphp

Examinons le code source de cette page, et découvrons ce répertoire peuplé de scripts : http://www.secretplants.com/catalog/adsl.html/free/ dans lequel on trouve également un petit flash nommé 04150040_roi-creas-02009-08-04exo728x90m119samsungultraplayer.swf dont le reverse ne donnera rien, c’est bien ce qu’il dit être à savoir une petite bannière publicitaires.

flasm

Allez soyons fous et remplissons les champs de la demande de vérification… Aaaaahh nous y voici enfin, on passe maintenant à la caisse, on nous demande maintenant nos informations bancaires :

A la fin de cette étape, vos informations bancaires sont maintenant entre les mains de notre phisher, et vous voila redirigé sur le site officiel de Free. Toute la logique permettant à notre phisher d’opérée se situe dans les javascripts. D’ailleurs, en examinant un peu le ga.js (pour Google Analytics) on voit assez clairement que ce script n’est pas vraiment ce qu’il prétend être, à savoir un petit bout de code destiné à extraire les statistiques de visites d’un site… celui çi est bien trop « riche en sucre » :

analytics

L’autre URL révélée par le screenshot de DS45 nous amène tout droit en Chine sur le site http://www.jkswkj.com/, un site dédié semble t-il à Joomla, le CMS le mieux documenté du monde. L’url complète nous indique cependant que c’est Horde, un webmail, qui semble servir à distance les images du spam envoyés sur *@free.fr

En nous rendant sur l’url complète de DS45 : ici http://www.jkswkj.com/check/horde.imp.mailbox.phpmailbox=INBOX/secure/enligne/adsl.html/

Nous voilà redirigés sur un domaine brésilien contenant le même phishing pour les Freenautes

http://www.abasolucoes.com.br/check/horde.imp.mailbox.phpmailbox=INBOX/secure/enligne/adsl.html/login.php?free=_login-run&dispatch=5885d80a13c0db1f1ff80d546411d7f84f1036d8f209d3d19ebb6f4eeec8bd0e5a7cc33fe1f74d52d6b79dee8bd8c2b45a7cc33fe1f74d52d6b79dee8bd8c2b4

Toutefois, le site http://www.abasolucoes.com.br lui aussi compromis est bien signalé comme un site de phishing, ce qui n’était pas le cas du premier.

Bref nous sommes en face d’un truc pas mal ficelé du tout, ça faisait un petit moment, plusieurs années, que je ne m’étais pas penché sur la pratique du phishing, il semble que tout ceci ait plutôt pas mal évolué techniquement et il est toujours intéressant de tenter de comprendre comment procèdent les phisher. Le « dispatch » présent dans les deux URL des sites compromis hébergeant les fichiers servant au phishing m’intrigue. Si quelqu’un sait à quoi ceci correspond je serais intéressé d’en savoir plus même, je subodore le toolkit assez élaboré.

Twitter Facebook Google Plus email

20 thoughts on “Phishing : petite analyse d’un phishing Free pas mal fichu”

  1. Y a quand même une faute : le « sa » à la place de « ça » et une répétition lourde de « informations » et des phrases mal tournées pour être un mail de Free.
    Mais effectivement la méthode reste intéressante à décortiquer

  2. La page de phishing contient des informations de session de free (sur les liens des icônes): un « id=1703592 » et « idt=c9bcd710a6d97306 ».

    Ce sont généralement le numéro de session et l’id de l’utilisateur il me semble… car pour faire cette page, l’attaquant a bien dû se servir d’une session free et la capturer.

    Aurait-il fait l’erreur grossière d’utiliser la sienne ?

    Nota: google renvoie, pour ces ids, une page non-existante pointant vers un autre site (vérolé via c99shell) ayant hébergé précédemment la « fausse page » free.

  3. la dernière phrase du dernier paragraphe met tous les efforts du phisheur à plat « sinon sa se traduira à une suspension immediate du compte » Le mail est déjà à la poubelle à ce moment là.

  4. Mon dieu, des cyberpirates américains, chinois et brésiliens qui se sont alliés pour déclencher une cyber guerre.

    9a fout la trouille.

    La presse explose à nouveau aujourd’hui de papiers sur les cyber pirates chinois qui ont déclenché une cyber guerre.

    Grosse fatigue…

    :/

  5. Ouai je l’ai reçu par mail il y a environ 2 semaines. Je n’ai pas manqué de remplir le formulaire avec des infos bidons pour noyer les comptes valides saisis par Tata Monique…

    N’empêche c’est tellement simple de mettre en place une page de phishing !

  6. ILS ONT TENTé MAIS CE SONT PLANTES, je suis pas abonnée depuis le 3 mars mais plus tard : dommage pour eux!!! voilà le texte :

    Bienvenue chez Free!

    ——————————————————————————–

    Cher membre Free,
    Apres plusieurs tentative inutile de vous joindre par telephone,nous vous avons envoye ce mail pour vous informer qu une defaillance est survenue lors des preIevements mensuels effectues sur le compte de notre clientele ,en effet le 03 avril 2011 votre compte a ete indument debite de la somme de (32.30) EURO. Cette confusion est essentiellement du la correspondance de vos noms et prenoms avec ceux d un autre client . A fin de proceder a un de remboursement immediat nous vous prions de bien vouloir cliquer sur le lien ci-dessous et fournir toute information susceptible d accelerer ce remboursement . Remplissez le formulaire de remboursement en cliquant sur le le lien suivant :
    Veuillez Cliquer ici :

    Important :
    Le versement effectue par free sera porte sur votre prochain releve bancaire. Nos clients free beneficieront d un geste commercial. Nous vous assurons de la confidentialite des informations fournies free se porte garant quant la responsabilite juridique de ces transactions. Nous vous remercions de votre comprehension et nous nous excusons pour le desagrement encouru.

    Sincères salutations,
    L’équipe Free

    Nous Contacter
    ——————————————————————————–

    Par téléphone au 3244 *
    Par mail: http://www.free.fr/assistance/mail.html
    Par Fax: +33 899 90 5000 (1,35€ par appel puis 0,34€/mn)
    Par courrier: Free Haut Débit – 75371 Paris Cedex
    Free est certifié NF Service pour la qualité de sa relation client.

    ——————————————————————————–

    Informations légales relatives au forfait Freebox
    * gratuité du temps d’attente à partir d’une Freebox, tarif local puis prestation d’assistance à 0,34€/mn sur facture Free

  7. Encore un nouveau mail de phishing « free », une seule faute d’accord de participe passé et des tournures de phrases presque parfaites ! Le texte est une image, je ne peux donc pas le coller, mais en gros ils demandent de vérifier que les informations bancaires, téléphoniques, carte de crédit sont bien à jour. le lien à cliquer mène vers une page bluffante de connexion sur free : http://scrystdata.com/fich.free.fr/etap1.htm?free.fr=_login-run&dispatch=5885d80a13c0db1f1ff80d546411d7f84f1036d8f209d3d19ebb6f4eeec8bd0e

    ça fait peur !!!

    Bien cordialement,

    Charlotte

  8. Voici le dernier Pishing envoyé
    Cher client ! Votre Identifiant Client : in9284

    Pour la nouvelle version de securite de Free.fr, Nous avons recemment examiner votre compte et nous avons besoin de plus d’informations sur votre entreprise virtuelle, afin de nous permettre de vous fournir un service a la hauteur ainsi que verifier tous les acces de votre part sur notre plateforme.

    Jusqu’a ce que nous pouvons recueillir cette information, l’acces a votre compte de caracteristiques sensibles sera limite. Nous tenons a retablir votre acces le plus rapidement possible.

    Nous nous excusons pour cette gene occasionnee.

    Comment activer le service de securite de free ?

    Envoyer par SMS in9284 au 81053 (le sms d’activation gratuit)

    Merci pour votre cooperation.

    Jean-Marie Culpin

    L’equipe de securite de Free.fr

    Copyright © 2011 FreeBox (France) Free.fr

  9. Bonjour
    Le phishing est simple à débusquer…….. Il ne faut JAMAIS répondre à un e-mail demandant de se connecter pour mettre à jour ses identifiants quels qu’ils soient !!!
    C’est aussi simple que cela……..;
    Laertes

  10. Bonjour,
    Je viens de recevoir le même formulaire ce matin.
    C’est surprenant de réalisme. Ce qui m’a mis le doute c’est de me demander de modifier mes coordonnées bancaires alors que je dispose d’un compte free Gratuit!!.
    Sinon, c’est très inquiétant…
    Cdt,
    David

    1. 1° Tu n’es pas au Mac Do ;
      2° Si tu veux « hacker ce site », commence par éviter de balancer ça publiquement depuis chez toi, à Charleville-Mézières (Theatre) ;
      3° Puisqu’il est illégal, et qu’il te cause un préjudice, vas plutôt porter plainte ;
      4° et si les « créateurs sont pas sympas »… heu je sais pas moi … et je m’en fout ;
      5° Changer de pseudo ?

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *