SYN, SYN-ACK, ACK …

Steal This Blog

Phishing ou pas …

mai 16th, 2010 by Corbier

Je viens de recevoir un mail assez sympa dont voici la copie :

Pourquoi l’accs mon compte est-il restreint ?

Bonjour,

Dans le cadre de nos mesures de scurit, Nous vrifions rgulirement l’activit de l’cran PayPal.

L’accs votre compte a t restreint pour la ou les raisons suivantes :

Nous avons dtermin que quelqu’un a peut-tre tent d’accder votre compte PayPal sans votre autorisation. Pour votre protection, nous avons restreint l’accs votre compte. Pour enlever cette restriction, connectez-vous votre compte PayPal et suivez la procdure indique dans le Gestionnaire de litiges.

C’est le dernier rappel pour vous connecter PayPal, le plus tt possible. Une fois que vous serez connect, PayPal vous fournira des mesures pour rtablir l’accs votre compte.

La procdure est trs simple :

1. Cliquez sur le lien ci-dessous pour ouvrir une fentre de navigateur scurise.

2. Confirmez que vous tes bien le titulaire du compte et suivez les instructions.

Accder votre compte

Une tentative de phishing grossière qui ne marche pas vraiment. Mais ce qui a retenu mon attention c’est le lien dans le mail.

http://earnafrica.org/components/but/tmp/cgi-bin/un&dispatch=5885d80a13c0db1fb6947b0aeae66fdbfb219927117e3a6f876e112aqqa/

Quand on va sur l’url ci-dessus on obtiens ceci :

Bref on a affaire a du phishing paypal, classique.  Cependant lorsque l’on remonte dans l’arborescence on tombe sur ceci:

Et oui ce petit malin (pas tant que ca) a laisser son kit de phishing en téléchargement… Après quelques recherches dans les sources, on obtient des informations intéressantes.

[corbier@fedora un&dispatch=5885d80a13c0db1fb6947b0aeae66fdbfb219927117e3a6f876e112aqqa]$ cat moSier/header.js
<?
$IP = ‘m_s_@hotmail.fr,spamozar@gmail.com’;
?>[corbier@fedora un&dispatch=5885d80a13c0db1fb6947b0aeae66fdbfb219927117e3a6f876e112aqqa]$

Donc nous avons ici deux adresses mail. Mais ce n’est pas tout. en recherchant le mot clé fopen dans les sources la on rigole très fort.

[corbier@fedora un&dispatch=5885d80a13c0db1fb6947b0aeae66fdbfb219927117e3a6f876e112aqqa]$ grep -R fopen *
moSier.php:$file = fopen(« moSier.txt », »a »);

et la si on chercher ce fichier sur le serveur.

J’ai volontairement flouter les coordonnées de la pauvre victime. Quand on pense à la bétise des phishers…

Un peu de formation auprès de vos proches leurs enlèveras beaucoup de souci.

Quand a m_s_@hotmail.fr et spamozar@gmail.com vous avez mon autorisation pour les inscrire à tout les sites porno, gay, trash, zoophile etc…  et je sais que vous en connaissez des gratinés : )

Creative Commons License
The Phishing ou pas … by Steal This Blog, unless otherwise expressly stated, is licensed under a Creative Commons Attribution-Share Alike 2.0 France License.
Filed under Non classé having No Comments »

Comments are closed.