Qui sommes-nous ?

Ma photo
Assocation à but non lucratif, Phishing-Initiative est un partenariat entre Microsoft, PayPal et le Cert-Lexsi. Soumettez vos sites suspects sur notre formulaire : http://phishing-initiative.com

lundi 7 avril 2014

100 000 !

Nous avons franchi un cap en décembre 2013 avec plus de 150 000 URLs reçues, dont 100 000 distinctes, en tout juste 3 ans d'existence de notre association. Ces adresses suspectes ont toutes été analysées et qualifiées par les experts du Cert-Lexsi. Il en ressort que le phishing continue de progresser, mais un peu plus doucement que les années précédentes. Par ailleurs, deux tiers des soumissions ont effectivement permis d'identifier des sites de phishing (environ 65 000 sur la période).

En 2013, c'est ainsi plus de 28 000 cas qui ont été identifiés et confirmés. Près de 80 sites frauduleux différents ont donc été mis en ligne chaque jour pour tromper les internautes francophones. En plus, de ces remontées effectuées par les internautes, d'autres autre cas sont identifiés et signalés à Phishing-Initiative par ailleurs par Lexsi.
C'est donc plus de 36 000 adresses de phishings confirmés qui ont touché la France en 2013, soit pratiquement 100 par jour. Grâce à nos partenaires, ces adresses ont été rapidement bloqués dans les navigateurs participants protégeant ainsi un grand nombre d'internautes de ces attaques.

Certaines attaques n'ont pu être détectées ou confirmées, ce qui laisse penser que plus de 40.000 sites frauduleux différents auraient visé les internautes français l'an dernier, soit plus de 110 jour.

Un communiqué de presse sur le sujet a été diffusé aujourd'hui aux médias. Nous poursuivons grâce à vous notre lutte contre cette forme d'escroquerie en ligne particulièrement développée et de sensibiliser le plus grand nombre aux risques liés au phishing.

Merci de contribuer à la lutte !




nGTLD: c'est parti (...pour du phishing!)

Comme nous le pensions, les pirates n'ont pas tardé à s'intéresser aux nouvelles extensions de domaines de premier niveau (nGTLD pour new Generic Top Level Domains) qui sont déjà autorisés par l'ICANN.
400 000 domaines seraient déjà déposés, et un certain nombre usurperaient des marques connues à des fins de cybersquatting.

Mais nous avons identifié à priori un des premiers cas de phishing discuté publiquement à ce stade : un hameçonnage visant les utilisateurs de Groupon, sur le nGTLD ".support" proposé par le registre DONUTS. L'enregistrement de domaines au sein de cette extension en question n'est ouverte que depuis quelques jours, et seuls quelques centaines de domaines existent à ce stade sur cette extension.

Le site frauduleux usurpe la marque Groupon :



Bien évidemment, les pirates ont déposés ce domaine en utilisant des services d'anonymisation de whois (ici Namecheap), afin de ne pas être facilement identifiables.

Domain Name: groupons.support
Domain ID: F09B787BC1174F41B9EC7F1769C3C878-D
WHOIS Server: http://www.enom.com
Referral URL: http://www.enom.com
Updated Date: 2014-04-03T19:50:22Z
Creation Date: 2014-04-03T19:49:31Z
Registry Expiry Date: 2015-04-03T19:49:31Z
Sponsoring Registrar: Enom
Sponsoring Registrar IANA ID: 48
DomainStatus: clientTransferProhibited
Registrant ID: a586d6238350c858
Registrant Name: whoisguard protected
Registrant Organization: WhoisGuard, Inc.
Registrant Street: P.O. Box 0823-03411   
Registrant City: Panama
Registrant State/Province: Panama
Registrant Postal Code: 00000
Registrant Country: PA
Registrant Phone: +507.8365503
Registrant Phone Ext: 
Registrant Fax: +51.17057182
Registrant Fax Ext: 
Registrant Email: legal@whoisguard.com

Pour information, l'interface légitime de Groupon ressemble à cette capture :



Nous vous recommandons de ne jamais cliquer et suivre de liens transmis par email ou via les réseaux sociaux, peu importe le sentiment d'urgence ou avantageux de la sollicitation.

Quand c'est trop beau (ou trop bizarre) pour être vrai...





jeudi 7 novembre 2013

FrActualités: pas de nouvelles, bonne nouvelle !


Phishing-Initiative a reçu ces derniers jours plusieurs signalements portant sur le site www.fractualites.com, qui annonce rétribuer ses membres pour la lecture d'articles sur Internet.


Si le concept en lui-même (et son extension logique qu'est le parrainage et l'affiliation) est légitime, nous vous conseillons la plus grande prudence dans ce cas (et sa déclinaison linguistique allemande ou brésilienne, peut-être sur un modèle de développement par pays comme le font les ransomware)



Il ne nous a pas pris longtemps pour déterminer qu'il s'agit bien d'un site suspect. Néanmoins, comme il n'usurpe pas l'identité d'une organisation légitime pour récupérer des informations, il ne peut véritablement être classé comme phishing. On est ici plus probablement dans une autre forme d'escroquerie, telle que détaillé dans certaines analyses pertinentes déjà réalisées.

Mais nous pouvons apporter quelques éléments supplémentaires. Les vecteurs pour attirer les utilisateurs potentiels sont principalement de type viral, via des campagnes de spam et de promotion sur différents sites et forums, en particulier relayés par les affiliés (= parrains). Un "parrain" a même créé une page Facebook et une video sur YouTube.

Evidemment, le domaine -déposé récemment et anonymement via un bureau d'enregistrement russophone- et son site associé, hébergé sur un serveur ukrainien, doivent de facto ne pas inciter à la confiance.
En creusant un peu, on se rend compte également que quelques autres domaines sont hébergés sur cette même adresse IP:
centrgroup.com.ua
questbsn.com
secinfo.cc

Aucune info pertinente n'a été retrouvée sur les deux premiers domaines. Mais secinfo.cc est un site opéré par un cybercriminel russophone, qui utilise l'adresse email "abusemaillab@gmail.com", comme le montre son certificat SSL :


L'accès au site est protégé par une identification. Mais son objectif est vraisemblablement identique à d'autres sites détenus auparavant par l'individu comme secinfo.biz et consacrés à la fraude en ligne (notamment la revente de cartes de crédit volées):
En effet ce même individu opérait avant sur le même principe pp24.biz ou ppkub.com, aujourd'hui plus actifs car suspendus.

Les prestataires utilisés et informations issues des Whois, bien que pouvant être composé de données fictives, apportent une indication possible sur la nationalité du détenteur, parfois baptisé "Pupa Alex":

Registrant Address1:                         industry d 30/1  102
Registrant City:                             spb
Registrant State/Province:                   spb
Registrant Postal Code:                      683032
Registrant Country:                          Russian Federation
Registrant Country Code:                     RU
Registrant Phone Number:                     +7.9285781235
Registrant Email:                            abusemaillab@gmail.com

Ceci peut potentiellement expliquer les fautes d'orthographes et erreurs de syntaxe française de fractualites.com.
Des précédentes tentatives de malveillance par le probable même individu, mais via l'adresse abuselaboratory@gmail.com, de type malware (par exemple ZeuS) ou escroquerie, peuvent être également facilement retrouvées.

Des centaines de personnes se sont déjà inscrites sur le site, en justifiant leur acte par un "au cas où ça marche". On constate heureusement qu'un grand nombre d'individus ont flairé l'arnaque, notamment en réalisant des simples calculs mathématiques sur le coût engendré pour l'organisateur.

Et si le risque effectif suite à une inscription est en effet minime, le fait de donner un e-mail valide à un individu suspect, notamment celui de son compte PayPal nécessaire pour retirer les "gains", lui permettra à coup sûr de rentabiliser cette arnaque par :
- la monétisation des clics effectués par les inscrits à son propre bénéfice,
- la revente des informations collectées,
- l'envoi de plus de spams ciblés (voire des campagnes de phishing et par exemple usurpant PayPal).
- etc.

Une chose est sûre vu le profil du détenteur probable de fractualites.com : s'inscrire sur ce site vous rapportera probablement plus de problèmes que d'argent. Quand c'est trop beau pour être vrai...



jeudi 3 octobre 2013

HTTPS bien une arnaque ? Cette fois, oui !

Notre précédent billet revenait sur une technique grossière, employée par certains phishers pour tromper les utilisateurs en affichant dans le spam un lien commençant par "https".
Or les utilisateurs deviennent de plus en plus avertis et pensent de plus en plus à vérifier la présence du "cadenas vert" et d'une adresse commençant par "https" dans le navigateur. Cet élément visuel signifie en effet qu'un certificat SSL chiffrant les échanges entre le poste et le site Web est configuré sur le domaine visité.

Mais les pirates commencent à rendre un petit peu moins utile ce conseil, répété depuis des années pour faciliter la détection les cas suspects. Ils acquièrent et configurent effectivement des certificats SSL pour les domaines frauduleux qu'ils déposent spécifiquement pour certaines campagnes de phishing.

Nous avons ainsi identifié hier un phishing utilisant le prétexte d'un nouveau service, Paylib, pour pousser les victimes à divulguer des données personnelles et bancaires confidentielles (dont le numéro de carte de crédit).


Il est à noter que l'annonce publique du service Paylib est intervenue il y a tout juste 1 semaine : le temps pour les phishers d'identifier cette opportunité et de créer ce template...

Nous avions vu dans le passé quelques cas ayant recours à des sites Web compromis disposant d'un
certificat SSL. Mais ce genre de cas avec acquisition d'un certificat demeure très rare (moins d'une dizaine par an en France nous sont remontés), probablement car ces certificats sont payants.
Au besoin, les pirates utilisent néanmoins des tarifs réduits par achat en gros, des offres promotionnelles ou tout simplement passent commande avec une CB volée, lorsque celle-ci n'est pas encore en opposition.

Par ailleurs, le domaine incriminé dans ce cas contenait la marque "paylib" et le nom d'une banque participante, et utilisait l'extension en ".fr", renforçant d'autant plus la crédibilité du site.

Ces frais et manipulations représentent un "coût" (et un risque) pour le fraudeur, mais crédibilisent quelque peu son attaque. Les analystes de Lexsi qui procèdent aux vérifications ont d'ailleurs mis un peu plus de temps pour se prononcer définitivement sur ce cas (alors que la plupart des cas sont traités en moyenne en moins de 15min).
Une fois le cas confirmé comme frauduleux, Phishing-Initiative a rapidement fait bloquer le site, qui n'a été en ligne au final que quelques heures au total.



Il est à espérer que le ROI de mener une telle attaque demeure néanmoins inférieur à l'avantage procuré par cette approche visant à crédibiliser le site frauduleux (et donc que peu ou pas d'internautes ont divulgués des informations exploitables par les fraudeurs).
Sans quoi il se pourrait que se développe ce modus operandi.


mercredi 24 avril 2013

HTTPS bien une arnaque?

On nous récemment remonté un exemplaire d'un spam usurpant l'identité de Crédit Mutuel à des fins de phishing.
La campagne de spam prétexte (classiquement) un risque relatif à la sécurité du compte bancaire du destinataire :


Bien sûr, le lien mentionné dans l'image centrale de ce phishing et commençant soi-disant par "https" est bidon. La présence de l'HTTPS est à vérifier sur votre navigateur, pas dans l'email.
Dans ce cas, le lien frauduleux pointait vers un site compromis au Chili (.cl), qui n'a rien à voir avec Crédit Mutuel, avant de rediriger vers un espace gratuit d'hébergement de sites dans le nuage.


De toutes façons, il faut retenir que de telles sollicitations ne vous parviendront JAMAIS par email de la part de banques françaises.
Toute autre vérification ultérieure (syntaxe/orthographe/grammaire, domaine du lien présent dans l'email, etc.) ne doit servir qu'à vous confirmer que le message est une escroquerie par phishing et vous aider à vous entraîner à repérer la prochaine tentative de ces escrocs tenaces...

Pour en savoir, plus :
- lisez les conseils en la matière du portail gouvernemental sur la sécurité informatique, de la plateforme de signalement Pharos ou de Signal-Spam,
- consultez les alertes de sécurité figurant sur les sites officiels des organismes dont l'identité est usurpée (exemple Crédit Mutuel),
- remontez-nous toute adresse de site suspect pour que nous l'analysions.

jeudi 18 avril 2013

Convention de partenariat avec Signal-Spam : la lutte s'organise !

Nous sommes ravis de renforcer notre collaboration actuelle avec l'association Signal-Spam, par la signature conjointe d'une convention de partenariat.

Les membres fondateurs de Phishing-Initiative sont parties prenantes de l'association Signal-Spam depuis plusieurs années. L'objectif commun de nos initiatives demeure la protection des internautes français sur Internet, grâce à une coopération efficace entre les pouvoirs publics et le secteur privé.

Le spam est un vecteur privilégié du phishing, et nos associations à but non lucratif vont essayer de mieux lutter ensemble contre ces fléaux. Mais pour ce faire, nous avons besoin de vous :
- nous vous encourageons à nous soumettre tout site suspecté de tentative de phishing, pour que nous puissions le cas échéant le faire bloquer au plus vite;
- il est également important de prévenir les équipes internes de l'organisation dont l'identité est usurpée (banque, FAI, administration, etc.), pour quelles puissent prendre les mesures qui s'imposent pour endiguer ces infractions. Ces organisations mettent en effet souvent à disposition des moyens simples (par exemple une adresse email de type: "abuse@nomdedomaine") pour leur faire parvenir ces cas.
- nous vous recommandons par ailleurs de signaler l'ensemble de vos spams grâce aux outils mis à disposition par Signal-Spam.



jeudi 21 mars 2013



L'association Phishing-Initiative est fière de vous présenter les résultats de son action en 2012.
Vous trouverez notre rapport d'activité en suivant ce lien.

Grâce à vous, plus de 25 000 adresses de sites frauduleux ont pu être identifiées et bloquées, soit près de 70 par jour.
Et 2 fois plus que l'an dernier (2011) !


Le Cert-Lexsi a également identifié et remonté à Phishing-Initiative plus de 5 000 URLs de phishing supplémentaires visant le public francophone.
Au total, plus de 30 000 sites frauduleux distincts ont été A MINIMA créées l’an dernier à des fins de vols de données personnelles ou bancaires des particuliers et organisations nationales.



Il y a donc bel et bien une poursuite du phénomène d'augmentation du phishing en France.
Heureusement, la sensibilisation du public sur ce risque (et l'opportunité d'agir pour tout un chacun via notre initiative) croit également, comme le montre l'augmentation du nombre de personnes différentes nous ayant signalé un cas.

Faites connaitre ce moyen autour de vous, pour que le plus grand nombre soit protégé !

CONTRIBUEZ A LA LUTTE CONTRE LE PHISHING SUR :

De nombreux développements sont dans les cartons, notamment pour :
- couvrir une plus large typologie de cas de phishing,
- vous apporter une information plus complète sur notre action et la menace du phishing,
- apporter de nouvelles fonctionnalités pour les personnes qui nous soumettent régulièrement des cas,
- voire pour étendre notre action aux autres pays européens.

Un grand merci à nos partenaires dévoués dans la lutte contre cette forme de cybercriminalité,