Contenu | Rechercher | Menus

Annonce

Ubuntu 16.04 LTS
Commandez vos DVD et clés USB Ubuntu-fr !

Pour en savoir un peu plus sur l'équipe du forum.

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

#1 Le 18/03/2017, à 00:34

LienRag

Comprendre un Phishing

Mon père a récemment commis l'erreur d'utiliser un ordinateur sous Windows et de s'y connecter à son compte Orange, en entrant donc son identifiant et mot de passe dans la fenêtre de la page web orange.fr

Peu après la plupart des gens sur son carnet d'adresse ou étant en contact par mail avec lui ont reçu un mail de phishing classique ("peux-tu m'aider, j'ai un problème").
Il s'en est rendu compte le lendemain et a changé son mot de passe (depuis un PC sous Lubuntu, donc a priori sûr - par contre depuis le même réseau wifi, j'espère que ce n'est pas un problème).

Vu la chronologie, il me semble que l'on n'est pas dans un cas de spoofing de l'adresse de mon père après récupération d'une liste d'adresse mail, mais bien dans un vrai piratage de sa boîte.
D'ailleurs le reply-to du message envoyé pointe bien vers la vraie adresse de mon père, et quand sous Thunderbird je tente de répondre au message de fishing Thunderbird me donne bien la bonne adresse dans le champ "Pour" (si je comprends bien, à partir de là je peux être certain qu'à part attaque MITM, le message que j'envoie arrivera bien à la bonne adresse?).
Le début du header du message de fishing est là:

Received: from HE1P195CA0024.EURP195.PROD.OUTLOOK.COM (10.171.121.34) by
 DB6P195MB0101.EURP195.PROD.OUTLOOK.COM (10.171.119.19) with Microsoft SMTP
 Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id
 15.1.947.12 via Mailbox Transport; Thu, 16 Mar 2017 11:42:51 +0000
Received: from inbound.mail.protection.outlook.com (213.199.180.145) by
 HE1P195CA0024.outlook.office365.com (10.171.121.34) with Microsoft SMTP
 Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id
 15.1.977.11 via Frontend Transport; Thu, 16 Mar 2017 11:42:50 +0000
Received: from AM5EUR02FT030.eop-EUR02.prod.protection.outlook.com
 (10.152.8.60) by AM5EUR02HT084.eop-EUR02.prod.protection.outlook.com
 (10.152.9.37) with Microsoft SMTP Server (version=TLS1_2,
 cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id 15.1.961.10; Thu, 16
 Mar 2017 11:42:50 +0000

Mais dans ce cas, pourquoi mon père a pu changer son mot de passe? Pourquoi le pirate ne l'a pas changé lui-même auparavant?
Et comment le pirate peut-il échanger avec les phishés qui répondent sans que les messages n'apparaissent dans la boîte mail de mon père?

Hors ligne

#2 Le 18/03/2017, à 09:08

nam1962

Re : Comprendre un Phishing

A priori, si il a changé son mdp, sa boite n'est plus utilisée par le tiers (par contre le tiers continue d'utiliser son adresse)


Almanet doLys de l'open source : mon tuto pour optimiser / finaliser une install
Xubuntu devel - Manjaro unstable - OpenSUSE tumbleweed (GeckoLinux) -Debian Testing Et vous ?
57 convertis  IRL (n'ont pas eu le choix...).
Un jeune site que j'aime bien, le top du T-shirt homme ...bio et éthique en plus : https://goudronblanc.com

Hors ligne

#3 Le 18/03/2017, à 10:09

Brunod

Re : Comprendre un Phishing

Attention entre l'affichage de la boite de l'émetteur et la boite qui réceptionne vraiment les réponses : elles peuvent être différentes !

Dernière modification par Brunod (Le 18/03/2017, à 10:09)


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
37 pc linux convertis

Hors ligne

#4 Le 18/03/2017, à 10:57

LienRag

Re : Comprendre un Phishing

Brunod a écrit :

Attention entre l'affichage de la boite de l'émetteur et la boite qui réceptionne vraiment les réponses : elles peuvent être différentes !

L'affichage où?
Dans le message reçu ou dans la fenêtre d'envoi de Thunderbird?
Et comment on trouve la vraie adresse alors?

nam1962: Comment il utilise son adresse si le mdp a changé? En la spoofant ou autre méthode?

Hors ligne

#5 Le 18/03/2017, à 11:15

nam1962

Re : Comprendre un Phishing

Regarde le code source du message dans thunderbird.

Pour le "de" je crois me souvenir que dans TB on peut changer dans option de compte, dans la partie "adresse électronique", mettre adresse@domaine.com, adressevolée@domaine volé.com (séparé par une virgule) ou une manip du genre. (dans le code source tu vois la vraie adresse de réponse)


Almanet doLys de l'open source : mon tuto pour optimiser / finaliser une install
Xubuntu devel - Manjaro unstable - OpenSUSE tumbleweed (GeckoLinux) -Debian Testing Et vous ?
57 convertis  IRL (n'ont pas eu le choix...).
Un jeune site que j'aime bien, le top du T-shirt homme ...bio et éthique en plus : https://goudronblanc.com

Hors ligne

#6 Le 18/03/2017, à 12:42

LienRag

Re : Comprendre un Phishing

Comme indiqué dans le message initial, j'ai vérifié que l'adresse de réponse est la bonne.
Ma question est d'être sûr que l'adresse indiquée dans le champ "pour" de la fenêtre d'envoi Thunderbird sera (sauf MITM bien sûr) celle qui recevra le mail que moi j'envoie.

Hors ligne

#7 Le 18/03/2017, à 14:34

Underneath

Re : Comprendre un Phishing

Ca peut être un cas où le but des pirates est juste d'avoir une liste de cibles. Le plus souvent, les cybercriminels font du piratage de masse, plus facile et plus rentable. Généralement, un tech saavy est particulièrement imunisé contre ce genre de piratage.

Donc, il est probable ques les pirates aient récupéré la liste de contact et basta, ça leur suffit pour faire du fishing puisqu'ils ont suffisament d'éléments pour faire du SE en même temps (il y a plus de chance que 2 personnes du carnet d'adresse se connaissent que 2 personnes prises au hasard sur internet).

Du phishing de masse peut alors se faire avec plus de chance de réussir que du phishing au hasard. Il ne faut pas oublier que ces pirates bossent, c'est leur boulot, ils essaient d'être le plus rentable possible à l'heure. On n'est pas sur du hacking ciblé ici, en tout cas, je ne pense pas vu les éléments fournis.


Boubounetou 17.04

Hors ligne

#8 Le 18/03/2017, à 15:14

LienRag

Re : Comprendre un Phishing

Underneath a écrit :

Ca peut être un cas où le but des pirates est juste d'avoir une liste de cibles. Le plus souvent, les cybercriminels font du piratage de masse, plus facile et plus rentable. Généralement, un tech saavy est particulièrement imunisé contre ce genre de piratage.

Donc, il est probable ques les pirates aient récupéré la liste de contact et basta, ça leur suffit pour faire du fishing puisqu'ils ont suffisament d'éléments pour faire du SE en même temps (il y a plus de chance que 2 personnes du carnet d'adresse se connaissent que 2 personnes prises au hasard sur internet).

Du phishing de masse peut alors se faire avec plus de chance de réussir que du phishing au hasard. Il ne faut pas oublier que ces pirates bossent, c'est leur boulot, ils essaient d'être le plus rentable possible à l'heure. On n'est pas sur du hacking ciblé ici, en tout cas, je ne pense pas vu les éléments fournis.

J'ai effectivement d'abord pensé à du spoofing plutôt qu'à un piratage réel de la boîte, mais comme indiqué dans le message initial l'adresse de réponse (tant dans le mail lui-même que dans le header vu par ctrl+U dans Thunderbird que dans le champ "pour" de la fenêtre d'envoi de Thunderbird) est bien celle de mon père, donc je ne comprends pas comment l'attaquant pourrait recevoir les réponses au message de phishing pour pouvoir lui-même y répondre s'il n'a pas le mot de passe de la boîte de mon père?

Hors ligne

#9 Le 18/03/2017, à 22:26

nam1962

Re : Comprendre un Phishing

Il l'a eu, il ne l'a plus.
Par contre il ne faut pas exclure un proche plutôt qu'un vilain hacker.


Almanet doLys de l'open source : mon tuto pour optimiser / finaliser une install
Xubuntu devel - Manjaro unstable - OpenSUSE tumbleweed (GeckoLinux) -Debian Testing Et vous ?
57 convertis  IRL (n'ont pas eu le choix...).
Un jeune site que j'aime bien, le top du T-shirt homme ...bio et éthique en plus : https://goudronblanc.com

Hors ligne

#10 Le 18/03/2017, à 22:51

LienRag

Re : Comprendre un Phishing

nam1962 a écrit :

Il l'a eu, il ne l'a plus.
Par contre il ne faut pas exclure un proche plutôt qu'un vilain hacker.

Ok, et l'attaquant a moyen de continuer à accéder à la boîte mail maintenant que le mot de passe a changé?
Je veux dire, s'il a un pc zombie quelque part qui a gardé une session mail ouverte, elle peut continuer à récupérer les mails / leur répondre?

Hors ligne

#11 Le 19/03/2017, à 03:53

MichelZ

Re : Comprendre un Phishing

Une fois changé le mot de passe, j'espère qu'Orange coupe les connexions éventuelles en cours, sinon y a du souci à se faire !
Par contre le pirate a pu télécharger tous les contacts et tous les messages envoyés ou reçus. Donc s'il y a des infos confidentielles (n° de comptes bancaires, etc.) le pouvoir de malfaisance du pirate n'est hélas pas terminé...
D'autre part, de mon point de vue, dans le cas présent la "faille" n'est pas Windows ni l'ordinateur ni le réseau, mais ton père qui a choisi un mot de passe trop simple. Pour ma part j'utilise toujours des mots de passe à 12 caractères au moins, avec chiffres, caractères spéciaux, etc.

Hors ligne

#12 Le 19/03/2017, à 09:09

nam1962

Re : Comprendre un Phishing

LienRag a écrit :

(...)

Ok, et l'attaquant a moyen de continuer à accéder à la boîte mail maintenant que le mot de passe a changé?
Je veux dire, s'il a un pc zombie quelque part qui a gardé une session mail ouverte, elle peut continuer à récupérer les mails / leur répondre?

Si tu récupères un mail litigieux, vérifie dans la boite d'envoi de ton père si il existe : si le mdp est changé, il n'existera pas)
Compare aussi le code source des headers d'un mail légitme et d'un mail "pirate".

..Je continue à penser à un proche plutôt qu'à un hacking externe...


Almanet doLys de l'open source : mon tuto pour optimiser / finaliser une install
Xubuntu devel - Manjaro unstable - OpenSUSE tumbleweed (GeckoLinux) -Debian Testing Et vous ?
57 convertis  IRL (n'ont pas eu le choix...).
Un jeune site que j'aime bien, le top du T-shirt homme ...bio et éthique en plus : https://goudronblanc.com

Hors ligne

#13 Le 19/03/2017, à 10:29

bruno

Re : Comprendre un Phishing

Il faudrait voir la source complète du message, mais les en-têtes, aussi bien le From que le Reply-to, peuvent être très facilement falsifiés.
Vu ta description je pense que la machine sous Windows est simplement vérolée et contient au moins un logiciel malveillant qui récupère les adresses du carnet d'adresses pour envoyer du spam/phishing.

Dernière modification par bruno (Le 19/03/2017, à 12:54)

Hors ligne

#14 Le 19/03/2017, à 12:34

Underneath

Re : Comprendre un Phishing

MichelZ a écrit :

D'autre part, de mon point de vue, dans le cas présent la "faille" n'est pas Windows ni l'ordinateur ni le réseau, mais ton père qui a choisi un mot de passe trop simple.

Je ne m'avancerais pas sur ce point. Les cybercriminels bossent avec des 0-days aussi. Sur Linux, on est quand même assez immunisé de part notre base d'utilisateurs beaucoup plus restreintes et du niveau de sécurité plus élevé du système et des utilisateurs, en moyenne. Mais rien n'empêche un système windows à jour avec AV de se prendre un malware (surtout avec tous un tas de plugins dans le navigateur).

Les entêtes peuvent effectivement être bidonnées, donc pas évident de conclure non plus. Qui plus-est, avec la mode des botnets, un ordinateur compromis peut avoir plusieurs fonctions, y compris de participer à des attaques DDOS ou à du phishing de masse, avec des algorythmes complexe pour puiser dans des bdd d'emails piratées pour rendre les attaques plus efficaces.

Malheureusement, avec Windows, quand on a un doute qu'il puisse avoir été compromis, je ne connais qu'une seule méthode de réparer les soucis.

Pour lecture : https://korben.info/interview-black-hat.html


Boubounetou 17.04

Hors ligne

#15 Le 19/03/2017, à 15:44

LeoMajor

Re : Comprendre un Phishing

utiliser un ordinateur sous Windows et de s'y connecter à son compte Orange

Et quel est le malheureux propriétaire de cet ordinateur ?
Désactive & supprime les extensions de ton navigateur. C'est tellement fréquent de voir des extensions pourries et vérolées, que je serais pas surpris que cela vienne de là.
Interdit le java-script pat défaut et ajoute un anti-java script...
Vide le cache du navigateur ...

Received: from HE1P195CA0024.EURP195.PROD.OUTLOOK.COM (10.171.121.34) by
DB6P195MB0101.EURP195.PROD.OUTLOOK.COM (10.171.119.19) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id
15.1.947.12 via Mailbox Transport; Thu, 16 Mar 2017 11:42:51 +0000
Received: from inbound.mail.protection.outlook.com (213.199.180.145) by
HE1P195CA0024.outlook.office365.com (10.171.121.34) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id
15.1.977.11 via Frontend Transport; Thu, 16 Mar 2017 11:42:50 +0000
Received: from AM5EUR02FT030.eop-EUR02.prod.protection.outlook.com
(10.152.8.60) by AM5EUR02HT084.eop-EUR02.prod.protection.outlook.com
(10.152.9.37) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id 15.1.961.10; Thu, 16
Mar 2017 11:42:50 +0000

C'est incomplet et rien n'anormal .
Il manque le return path, qui correspond au mail from, véritable expéditeur.
regarder si le header.from est aligné au mail.from.

Hors ligne