Ce matin, je suis surpris par un message un peu incongru d’un de mes contacts sur Twitter:
Guidé uniquement par ma curiosité je décide de suivre le lien qui m’amène sur une page http://mspaworldwide.net/twitter/ qui ressemble en tous points à la page d’accueil de Twitter:
Un petit regard au code source finit de me convaincre qu’il s’agit bien d’un phishing:
et … si l’on remplit le petit formulaire de connexion on est finalement redirigé sans encombre sur la vraie page de twitter (qui, si on est déjà connectés, affiche de toutes façons la liste des publications de nos contacts). Rien de très « high-tech » donc.
Je suis déjà surpris que de nombreuses heures après le début de cette campagne de phishing mon navigateur n’affiche pas une alerte (testé sous Chrome, Firefox, Internet Explorer, à cette heure – 12:07 – seul ce dernier affiche une alerte). Au passage toujours, Twitter utilise http://t.co/ pour relayer ce lien (quand on clique dessus en réalité on passe par http://t.co/2acFQb3 avant d’être redirigé vers le lien original en tinyurl) qui est un domaine censé permettre à Twitter de lutter contre ce genre de problèmes:
Apparemment leur système n’a pas encore détecté le problème… Les pages d’aide de Twitter nous indiquent qu’on peut signaler les abus de http://t.co/ en envoyant un message à tcoabuse@twitter.com, ce que je viens de faire évidemment.
Je ne sais pas si mon contact a laissé accès à son compte à une application mal intentionnée ou a succombé à la tentative de phishing elle-même… dans l’un et l’autre cas l’ensemble de ses contacts ont donc pu recevoir un message direct les invitant à visiter cette page. (15:27: La victime me confirme que c’est passé par le site de phishing lui-même, pas d’application en cause).
Si vous-même êtes tombés dans le panneau, pas trop d’inquiétude et suivez les indications du support de Twitter pour changer votre mot de passe. Je vous conseille de supprimer aussi les messages directs qui doivent apparaître dans votre compte à destination de vos amis (même si les courriers électroniques d’alerte sont sûrement déjà partis…).
Je ne suis pas le premier à parler de ça, bien évidemment (comme ici par exemple et @gcluley en parlait au début du mois de juillet dans un de ses articles, ou encore (17:18) @5ct34m il y a quelques jours qui notait qu’on retrouvait la même IP derrière une URL différente).
Epilogue concernant le site de phishing lui-même (14:19): il est hébergé en Chine. En outre, l’adresse IP hébergeant le site Web de Phishing est 220.164.140.252, qui renvoie, à l’heure où j’écris ces lignes (17:25) à des noms de domaine aux noms intéressants comme iltwitter.com, itiwitter.com ou ltwitteri.com entre autres (voir l’image agrandie pour en apercevoir la liste):
Je pense que seul Twitter peut nous en dire plus sur quelles adresses IP se connectent sur les comptes des victimes. Les infractions que l’on pourrait viser pour cette affaire sont essentiellement celles de collecte déloyale de données à caractère personnel, accès frauduleux à un système de traitement automatisé de données et peut-être le détournement de correspondances privées (les scammers envoient des messages, mais en théorie ils peuvent aussi consulter les autres messages).
Mise à jour (14:51): Chrome n’annonçant toujours pas la page comme du phishing, j’essaie de trouver la fonction qui permet de le signaler. Alors:
- Ouvrir le menu en cliquant sur la petite clé à molette ;
- Outils > Signaler un problème… et ensuite on suit le guide !
Sous Internet Explorer, même principe que sous Chrome:
- Affichage du menu
- Sécurité… Signaler un site Web d’hameçonnage.
Le fonctionnement est similaire et derrière l’URL http://mspaworldwide.net/app1/function.api.stalktrak.htm vous avez donc un formulaire qui vous invite à nouveau à rentrer votre identifiant et votre mot de passe Twitter, avec un aspect graphique qui ressemble à celui de Twitter.
Ceux qui se sont fait avoir se retrouvent apparemment à faire la publicité de l’application. Topsy nous donne une petite idée du trafic autour de ce site depuis quelques jours (cliquer sur l’image pour l’agrandir):
On note ainsi un pic le 29 juillet, avec un début de propagation le 27.
Stalktrak lui-même (ce qui semble confirmer ce que je rappelais un peu plus haut sur l’adresse IP du serveur suite à une indication de @5ct34m), tourne aussi au moins depuis le début du mois de juillet comme on peut le lire sur cet article de blog (avec une petite vidéo dedans) et où l’on retrouve un des noms de domaine évoqués précédemment.
05 août: Apparemment un nouveau domaine est apparu depuis hier qui délivre les mêmes contenus illégaux : 3xloanstoday.com. Évitez de vous y rendre et signalez le comme site de phishing.
Merci pour l’info, ce phishing est « pas mal fait »…
Sous Firefox 5.0 (Ubuntu) c’est Aide -> Signaler un site contrefait (Help -> Report web forgery en anglais)
Merci, j’ai été touché à 19h , jai changé de MDP aussitôt !
Bonjour, merci pour l’info !
Petite question : quels éléments du code source de la page vous ont montré qu’il s’agissait de phishing ? C’est pas évident à déceler si on a peu de connaissances en langage informatique.
Bonsoir,
Excellente question. Script PHP utilisé classiquement sur les pages de phishing, appelé par le formulaire. Et il ne me semble pas que Twitter utilise exactement du PHP en natif. En fait, ce que je voulais vérifier c’est si c’était un programme sur le serveur de phishing qui était appelé et non une page sur twitter.com, ce qui confirmait qu’on envoyait les données du formulaire vers le site.
Dans ce cas, c’est relativement simple on te demande de cliquer pour voir une photo compromettante de toi. Dans mon cas, la première personne qui m’a envoyé ce DM me connaissait depuis à peine un jour.
Une personne qui voit une photo compromettante de moi, soit elle ne me connait plus, donc elle n’est plus dans mon réseau, soit elle me connait et m’avertit gentillement. Dans le dernier cas, le message est forcément en français dans ma langue d’origine.
Dès que j’ai reçu ces DMs, j’ai averti les personnes concernées du problème qui ont relayé au près de leur réseau. Perso, je n’ai pas cliqué sur le lien
Donc comme tu peux voir, il n’est pas nécessaire d’avoir des connaissances en informatique. Il faut simplement être attentif. Plus c’est gros (photo compromettante de toi), plus le message fait appel à la peur, plus tu as de chance de tomber sur du phising.
Bonjour,
mais comment reconnait-on un phishing via le code source? enfin quels sont les codes pour le reconnaitre? (je suis une quiche moi en informatique!lol)
merci! 🙂
Bonjour,
Le bon point de départ c’est le message initial qui cherche à vous renvoyer sur la page en question. Souvent il vous paraît incongru. Dans le cas présent, je savais dès le départ que ce ne pouvait être qu’une tentative de phishing envoyée à l’insu du propriétaire légitime du compte twitter (il ne me parlerait pas en anglais et pas sur ce ton). Le second c’est l’URL (l’adresse dans la barre de navigation) qui n’a rien à voir avec le site que vous pensez visiter.
Merci pour cette information en effet les sites phishing sont de vrai fleau, meme signalé ils continu leur activité.
Dans votre article il apparait que nos navigateurs ne sont pas fiable a la detection, d’ou important d’etre attentif sur les liens cliqués….
Le « pishing » c’est bien de l’hameçonnage en fait ?
Bonjour ! Oui, effectivement. J’ai la mauvaise habitude d’utiliser phishing, plutôt que hameçonnage, ce dernier ayant été introduit au Québec en 2004, parce que pendant de nombreuses années c’était le seul mot en usage et il s’est ancré dans mon esprit.
Enfin, en France, on doit dire « filoutage », selon la commission générale de terminologie et de néologie, qui l’a validé en 2006: http://legifrance.gouv.fr/affichTexte.do?categorieLien=id&cidTexte=JORFTEXT000000426018
Je viens de recevoir également ce type de messages. Je suis tombé sur votre article après avoir mené de mon côté une petite enquête (moins poussée).
J’en ai également fait un article sur mon blog avec un lien vers votre article très instructif: http://bertiaux.fr/2011/08/tentative-de-phising-sur-twitter/
Merci !
Ok, merci beaucoup pour l’info! 😉 me ferait pas avoir comme ça! ^^