Phishing ou pas …
Je viens de recevoir un mail assez sympa dont voici la copie :
Pourquoi l’accs mon compte est-il restreint ?
Bonjour,
Dans le cadre de nos mesures de scurit, Nous vrifions rgulirement l’activit de l’cran PayPal.
L’accs votre compte a t restreint pour la ou les raisons suivantes :
Nous avons dtermin que quelqu’un a peut-tre tent d’accder votre compte PayPal sans votre autorisation. Pour votre protection, nous avons restreint l’accs votre compte. Pour enlever cette restriction, connectez-vous votre compte PayPal et suivez la procdure indique dans le Gestionnaire de litiges.
C’est le dernier rappel pour vous connecter PayPal, le plus tt possible. Une fois que vous serez connect, PayPal vous fournira des mesures pour rtablir l’accs votre compte.
La procdure est trs simple :
1. Cliquez sur le lien ci-dessous pour ouvrir une fentre de navigateur scurise.
2. Confirmez que vous tes bien le titulaire du compte et suivez les instructions.
Accder votre compte
Une tentative de phishing grossière qui ne marche pas vraiment. Mais ce qui a retenu mon attention c’est le lien dans le mail.
http://earnafrica.org/components/but/tmp/cgi-bin/un&dispatch=5885d80a13c0db1fb6947b0aeae66fdbfb219927117e3a6f876e112aqqa/
Quand on va sur l’url ci-dessus on obtiens ceci :
Bref on a affaire a du phishing paypal, classique. Cependant lorsque l’on remonte dans l’arborescence on tombe sur ceci:
Et oui ce petit malin (pas tant que ca) a laisser son kit de phishing en téléchargement… Après quelques recherches dans les sources, on obtient des informations intéressantes.
[corbier@fedora un&dispatch=5885d80a13c0db1fb6947b0aeae66fdbfb219927117e3a6f876e112aqqa]$ cat moSier/header.js
<?
$IP = ‘m_s_@hotmail.fr,spamozar@gmail.com’;
?>[corbier@fedora un&dispatch=5885d80a13c0db1fb6947b0aeae66fdbfb219927117e3a6f876e112aqqa]$
Donc nous avons ici deux adresses mail. Mais ce n’est pas tout. en recherchant le mot clé fopen dans les sources la on rigole très fort.
[corbier@fedora un&dispatch=5885d80a13c0db1fb6947b0aeae66fdbfb219927117e3a6f876e112aqqa]$ grep -R fopen *
moSier.php:$file = fopen(« moSier.txt », »a »);
et la si on chercher ce fichier sur le serveur.
J’ai volontairement flouter les coordonnées de la pauvre victime. Quand on pense à la bétise des phishers…
Un peu de formation auprès de vos proches leurs enlèveras beaucoup de souci.
Quand a m_s_@hotmail.fr et spamozar@gmail.com vous avez mon autorisation pour les inscrire à tout les sites porno, gay, trash, zoophile etc… et je sais que vous en connaissez des gratinés : )
The Phishing ou pas … by Steal This Blog, unless otherwise expressly stated, is licensed under a Creative Commons Attribution-Share Alike 2.0 France License.
mai 16th, 2010 at 18:42
Yop Corbier !
Pourrir un mail c’est pas assez !
J’ai eu accès à la page moi aussi, et je me suis connecté sur un compte paypal piraté, le bébète n’a pas supprimé l’historique des virements !
Les virement se font via websync et Galaxya. Ainsi toutes les traces sont brouillée. Il faudrait mettre un white-hat sur le coup …
mai 16th, 2010 at 21:42
http://www.whois.net/whois/earnafrica.org …
Il est TRES naif ce george kiogora de nairobi … bon je le balance a godaddy
mai 16th, 2010 at 21:50
Et pour info les emails que tu as donné sont ceux des créateurs du kit de phishing …
Le mec qui fait tourner ce site c’est g[...]@gmail.com
mai 17th, 2010 at 6:49
Bonjour à vous deux, concernant g[...]@gmail.com cette personne est peut-être qu’une victime du phisher. Quoique au vue du niveau ça me semble vachement compromis.
À plus :p
mai 17th, 2010 at 12:58
Tu as peut être raison on dirait que la racine hébergait un joomla a une époque … on dirait que le monsieur s’est fait dégager de son site peut être … en fait pour le moment vaut mieux laisser godaddy gérer ils vont voir soit avec le monsieur soit ils vont révoquer son domaine
mai 17th, 2010 at 12:59
En tout cas si c’est la victime il a tout gagné le pauvre mec … son site au mieux enregistré partout comme phishing au pire effacé …
mai 17th, 2010 at 14:07
Ouep pas de chance pour lui, son compte est suspendu…
mai 17th, 2010 at 16:09
Le site http://earnafrica.org est de retour, il à apparemment retrouvé sont propriétaire original.
GG à tous !
mai 17th, 2010 at 19:14
Wah … ils ont pas traîné chez godaddy !!!
En tout cas ouais on dirait qu’il avait été défacé son site …
Morale de l’histoire : TOUJOURS AVOIR UNE SAUVEGARDE !
@Corbier: tu pourrais censurer l’adresse du proprio du site dans les commentaires ? il a l’air innocent en fin de compte ce serait bête que des bots a spam récupèrent son mail ici
mai 17th, 2010 at 20:29
Édition faite :p
mai 20th, 2010 at 21:27
Ah tiens on dirait que ça recommence … il s’est fait delete la racine j’espère que le spammeur revient pas a la charge
mai 21st, 2010 at 15:47
En même temps si il avait une faille sur son site, il n’est pas du tout sur qu’il l’ait corrigé…
C’était quoi comme site ?
En passant, savez-vous si il y a un moyen pour dénoncer ces sites de phishing + des comptes mails apparentés… ?
mai 21st, 2010 at 21:01
Haha il avait un joomla … je vois passer 3 failles par jour sur les listes de vigilance … navrant…
Pour dénoncer ben rien de mieux que de prévenir l’hébergeur … utilise la base whois comme vu plus haut dans les commentaires
avril 18th, 2013 at 19:01
I’m not sure where you are getting your information, but good topic. I needs to spend some time learning much more or understanding more. Thanks for great information I was looking for this info for my mission.
mai 23rd, 2013 at 2:52
Having read this I believed it was rather
informative. I appreciate you finding the time and energy to put this article together.
I once again find myself spending a significant amount of time both
reading and posting comments. But so what, it
was still worthwhile!