Phishing Hotmail, Gmail, Yahoo – Attaque de Kevin

Posted on 10/12/2008 · Posted in Sécurité

Cela fait quelques semaines qu’un nouveau contact MSN s’est ajouté à notre carnet d’adresse, nous ne le connaissons pas, et nous n’y portons pas d’attention spécifique.
Quelques jours après, ce contact nous parle, très peu et de manière courtoise.

Ce n’est qu’après plusieurs – mini – échanges qu’il dit avoir des informations personnelles obtenues sur un tchat… Surpris, on demande quel tchat, et c’est à ce moment qu’il nous envoi une URL qui pointe vers la page de connexion Hotmail.

A première vu, tout semble normal, mais si l’on regarde l’url de plus près, on y trouve :

1
http://login.live.com.msn-holmail.com/...

Et voila comment l’on devient victime de phishing.

Analyse de la page

En utilisant Firebug pour analyser les flux d’information, on se rend compte que beaucoup d’information provient du vrai Hotmail – JS / CSS – ce qui permet d’avoir une “fausse” page conforme à l’original et fonctionnel.
Deux autres URI tapent à l’œil :

  • http://www.50dh.com/rerapid.php
  • http://www.waspami.com/

Grâce à Google et à sa traduction, nous avons pu en déduire que 50dh.com permettait d’obtenir des accès VPN/Rapidshare/etc. Tandis que Waspami.com permet de générer des pages de phishing pour Hotmail, Yahoo Mail et Gmail.
D’une utilisation très simple, il suffit de rentrer un email – pas forcement valide – et de choisir la langue. On obtient par la suite l’URL qui servira pour l’attaque.

Chaque tentative de connexion est enregistrée par la fausse page, connexion qui échouera forcement et qui renverra vers la vrai page du service . L’utilisateur n’y verra donc que du feu, car il aura l’impression d’avoir tapé un mauvais mot de passe et ronchonnera sur le temps perdu à le retaper.
L’homme malveillant retournera sur l’URL qu’il envoi à toutes ses victimes et se connectera avec l’email qu’il a utilisé pour générer la page. Il aura ensuite accès à une liste de login, mot de passe et IP.

Comment se protéger ?

Et là c’est le drame, car je n’ai trouvé aucun moyen de protection automatique. La seul protection, c’est le bon sens. Mais aller dire cela à votre grand-mère qui utilise internet depuis 4 mois ?

Nous avons fait le test avec l’utilisation d’openDNS qui est relié avec PhishTank pour – justement – éviter les problèmes de phishing. Mais rien n’est bloqué, et nous pouvons tomber dans le panneau sans y faire gaffe.
PhishTank est un service de protection contre le phishing qui fonctionne sur un principe de blacklist, donc tant que l’url n’a pas été ajoutée, elle n’est pas connue comme néfaste. Donc si le service de phishing est tout nouveau, il n’est pas référencé.

Alors qu’openDNS aurait dû – à mes yeux – être la solution la plus efficace, nous pouvons nous demander que faire ?
Mais nous sommes techniquement impuissant contre cela, la seul solution possible, c’est l’éducation des utilisateurs. On y revient toujours, car c’est la dessus que se base les attaques du type phishing, sur l’imprudence des utilisateurs.
Un peu comme en voiture, on a beau mettre des radars, des ralentisseurs, une personne qui souhaite rouler à 180km/h roulera à cette vitesse.. Alors qu’en rabâchant du plus jeune age, au plus vielle age qu’il ne faut pas rouler vite, peut-être que là nous aurons des résultats, peut-être même sans radar 😉

Si l’attaque n’a pas fonctionné, c’est que les conditions étaient suspects. Donc Au moindre doute, il faut se méfier.

Histoire de l’article

L’article aurait dû paraitre plus tôt, et lorsqu’il y a eu la prise de décision sur sa publication, le service de phishing waspami.com n’existait plus dans son intégralité… Les liens qui sont données plus haut ne sont donc plus fonctionnels.
Il est quand même publié pour montrer que cela peut arriver à tout le monde, et pour moi c’était la première fois.
Et puis, c’est quand même de là que m’est venu l’inspiration de l’article sur les déboires d’anna 😉

PS : Qu’est-ce qu’un Kévin ?