Alibobo et les 40 phishing

Alexej Savčin 21 août 2017

Comment détecter et contrer les escroqueries de type phishing ? Avast vous donne des conseils pour les reconnaître et les éviter ainsi qu'une étude de cas détaillée.

Mesdames et messieurs, à vos moteurs de recherche !

La détection, l'identification et même l'exposition des escroqueries de type phishing sont des tâches relativement faciles de nos jours. Tout ce dont vous avez besoin est une certaine capacité à reconnaître les stratagèmes du phishing et un bon moteur de recherche.

Grâce à ces outils, nous pouvons non seulement déceler les arnaques de phishing mais également remonter à leur source.

En 2017, les escroqueries de phishing sont quotidiennes. J'en ai reçu, vous en avez reçu et nous en recevrons encore et encore. Il s'agit d'un email d'une entité qui ressemble à s'y méprendre à une entreprise chez qui nous disposons d'un compte.

L'entité en question prétend être cette entreprise et déclare que notre compte présente des problèmes ou s'avère compromis. Pas d'inquiétude à avoir : l'entité nous informe qu'on peut régler le problème en un claquement de doigts. Il nous suffit alors de cliquer sur le lien fourni et de saisir nos informations de connexion.

Une fois la procédure effectuée, les cybercriminels sont en possession de nos informations. En un clic, la boîte de Pandore des ennuis et des soucis s'est ouverte.

Login.png

Une page de phishing qui peut piéger de nouveaux utilisateurs.

Comment reconnaître une escroquerie de phishing ?

Un premier indice qui ne trompe pas : les emails de phishing contiennent généralement des images de mauvaise qualité voire déformées du logo d'une entreprise. Vous remarquerez également des balises HTML apparentes ainsi que des coquilles.

L'utilisateur expérimenté repère les éléments frauduleux évidents à 10 km. Malheureusement, cette tactique fonctionne toujours sur les utilisateurs inexpérimentés et naïfs.

Instagram.png

Différences entre une page de phishing (gauche) et la page originale (droite)

Outre les erreurs globales de conception qui sautent aux yeux, vérifiez également la barre d'adresse. Les navigateurs sécurisés tels qu'Avast vous avertissent si une page web n'est pas liée à une connexion sécurisée. Ensuite, regardez l'URL : vous remarquerez de nombreuses autres preuves qu'il ne s'agit pas de la bonne entreprise.

Paypal.png

Exemples de noms de domaines étranges qui essaient de ressembler à PayPal

Autre signal d'alarme : Base64

Il s'agit d'un schéma de codage permettant aux pages de phishing de masquer un domaine web. Le lien tente de persuader l'utilisateur de cliquer. Il peut cacher un email, un document ou une page web. Un examen attentif du site web affiché révélera le lien de phishing et le code HTML cachés dans les métadonnées.

Encore une technique utilisée pour éviter de repérer l'escroquerie trop rapidement. Si vous voyez Base64 dans la barre d'adresse, vous savez que vous avez affaire à un lien suspect.

Base34.png

Base64 dans la barre d'adresse

Étude de cas : attraper un escroc

Notre expérience a commencé lorsque nous avons repéré cette page de connexion frauduleuse :

Excel.png

Page de connexion frauduleuse

Comme vous pouvez le constater, la barre d'adresse indique du code Base64. Pour les utilisateurs inexpérimentés, l'URL ressemble à une véritable adresse. En regardant le code de plus près, on peut voir un formulaire qui lance l'élément suivant :

Sample Code.png

Exemple original

Il s'agit d'un fichier PHP situé à l'adresse « papyrue.com.ng/cgi/default/mr.php » qui généralement livre les informations de connexion des victimes directement aux cybercriminels. Les analystes et les experts de la sécurité d'Avast voient ces cas de figure quotidiennement.

En poursuivant notre traque, nous avons utilisé notre moteur de recherche pour trouver le propriétaire de « papyrue.com.ng ».

Code-1.png

Source HTML décodée du site de l'escroc

Grâce à la base de données Whois, nous avons découvert que ce domaine a été enregistré le 14 mars 2016 au nom d'un particulier au Nigeria avec son adresse email.

Nous avons décidé d'aller plus loin.

Papyrue.png

Page papyrue.com.ng

Nous n'étions pas surpris de constater que le site web papyrue présentait un piètre design peu abouti. Notre investigation sur le serveur de phishing nous a permis d'en découvrir davantage, notamment d'autres fichiers HTML de phishing à foison.

Adobe.png

Une autre page de phishing de papyrue codée de la même manière que les autres. 

Des versions factices de phishing d'Excel Online, Yahoo et Adobe ont été trouvées sur le répertoire, toutes contenant des fichiers PHP dangereux qui attendaient sagement d'attaquer les systèmes d'utilisateurs du monde entier.

Dans certains échantillons, nous avons découvert des commentaires de l'auteur, un pirate nommé « Alibobo ». Ce nom se cachait derrière de nombreuses tentatives de phishing.

Code 2.png

Commentaire du développeur de la page de phishing. 

Qui es-tu, Alibobo ?

Un échantillon contenait même un lien vers son site web et son adresse email. Grâce au moteur de recherche Whois, nous avons découvert qu'Alibobo venait également du Nigeria.

Le rapport Whois nous a menés à ses réseaux sociaux. Son adresse email a été utilisée pour enregistrer plus de 19 autres domaines, dont certains inactifs. Il s'agissait d'une recherche basée uniquement sur cette adresse d'Alibobo et il doit très certainement en posséder plusieurs. Whois nous a également communiqué son numéro de téléphone ainsi que d'autres informations.

Whois.png

Le rapport Whois sur le site web d'Alibobo

 Après avoir effectué quelques recherches sur Google, nous avons trouvé davantage d'informations sur cette personne : des photos sur les réseaux sociaux, les adresses de son domicile et de son lieu de travail et même un profil sur « freelancer.in » où quelqu'un peut faire appel à ses services !

Freelancer.png

Le profil d'Alibobo sur freelancer.in. 

À l'origine de tout malware se cache un trafic d'argent qui attire des hordes de codeurs malveillants tels qu'Alibobo et il existe des milliers, voire des millions de personnes comme lui. Selon ses activités sur les réseaux sociaux, il semblerait que cet auteur de phishing en particulier soit devenu plus prudent au fil du temps mais dès qu'un cybercriminel disparaît, un autre apparaît.

Grâce à quelques connaissances seulement, vous ne tomberez jamais dans le piège du phishing.

Voici quelques règles de base pour ne pas vous faire avoir par une escroquerie de phishing éventuelle :

  • Remettez tout en cause et soyez attentif
  • Ne cliquez jamais sur un lien dans le corps d'un email. Ouvrez une nouvelle page de navigateur et connectez-vous à vos comptes via le portail officiel.
  • Restez vigilant et montrez à ces voleurs que malgré tous leurs efforts, vous ne vous laisserez pas leurrer.

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille.Pour toutes les dernières actualités, n’oubliez pas de nous suivre sur FacebookTwitter et Google+.

--> -->