Phishing : centralisation des mails reçus

[hyunkel30]

  Hello,

Phishing pour la Banque Postale, le mail contient un fichier HTML en pièce jointe :

Le mail :



Si on ouvre la pièce jointe, nouvelle page dans votre navigateur :



Qui reprend l'identification de la banque postale.

Si on étudie le fichier HTML, on rearque plusieurs choses étrange :
- Les images qui viennent de divers sites ...
- Et à priori l'envoie des information qui va vers ce formulaire php :
hxxp://stephandesign.ro/imagini/rolete/p.php

Site roumain probablement détourné ...

 

(PS : je tiens à dispo le fichier HTML si quelqu'un le veut )

[Neigara]

Salut !

Je sais pas si on peut parler de phishing car le mail est vide mais j'ai reçu ça il y a quelques jours :

Donc avec une pièce jointe "Scan001.pdf".
Après malveillant ou erreur avec une imprimante j'en sais rien ^^

[hyunkel30]

  Si c'est du phishing il est pas fort pour appâter l'utilisateur lui 

[Neigara]

Tu crois que télécharger le pdf sur une VM puis l'ouvrir après avoir désactivé le réseau c'est safe, ou ya un risque pour ma machine physique ?

[hyunkel30]

Re,

Si c'est un "vrai" PDF, même s'il exploite une faille adobe ou autre, sur VM, réseau désactivé, peu de risque normalement

Et autant, c'est juste un truc à remplir pour récupérer des infos

[Neigara]

Re,

Bon après deux fails d'installation d'adobe, je suis passé par sumatra pdf pour me rendre compte que j'ai reçu un document administratif from Mexico xD

[hyunkel30]

 

[hyunkel30]

 

Le même phishing de la Banque postal ce jour, le serveur a changé :
hxxp://probiroticsolution.ro/config/wp-config.php

[chantal11]

 

Un petit Bleu-Ciel ... il y avait longtemps 

[Tawal]

Bonjour,

Voici l'e-mail de pishing que j'ai reçu :



A savoir que j'utilise une adresse mail réservée à mon FAI (pour les factures et autres promotions de sa part).
C'est sur cette adresse que m'a été envoyé cette tentative de pishing.
C'est le seul mail ayant un expéditeur différent de SFR (mon FAI).

Le lien pour remplir le formulaire mène sur une ancienne page "Neuf" personnelle n'existant plus (tant mieux) : http://suaelarequ.perso.sfr.fr/pijava-script/dqsr.php


Analysez bien cette phrase tirée du mail : "Dés réception de votre fiche nous vous contacterons sur le numéro que vous allez fournir."
Mon propre FAI me demanderait mon numéro de téléphone ! Ah bah oui je ne lui ai pas fourni lors de la souscription à son offre ! 


Faites bien attention !
Ne lisez pas vos mails en diagonale !

[Ptisuice]

Bonjour,

Je ne sais pas si c'est du phishing, mais, dernièrement, en essayant d'utiliser le free-wifi, donc en cliquant sur le réseau "free-wifi", mon navigateur s'est ouvert sur la page habituelle, mais, l'url était celle-ci : lienmorthttps://wifi.free.fr/?url=http://www.msftncsi.com/redirect (j'ai rajouté lienmort en début d'url)).
Je ne me suis pas connecté, un nom de domaine qui va expirer cette année, un whois qui indique un serveur en Suisse, et malheureusement un serveur microsoft désigné.
J'aime bien linux mais j'aime aussi windows, mon coeur balance, que se passe-t-il ici ?
Microsoft fait de la redirection ?
Est-ce une procédure normale pour une recherche de DNS ? etc ...

Bonne année 2014

Pour éviter de polluer je réponds ici merci Hyunkel30, une redirection en clair dans l'URL s'il s'agissait d'un phishing, serait l'affaire d'un véritable idiot.
Mais au-delà, cette affaire nous montre que le free-wifi est assujetti à un serveur windows 2008 et ça c'est pas très discret.

[hyunkel30]

  Bonjour,

Cela semble un serveur lié à un Indicateur de connectivité réseau.

C'est lié à l'interface du free-wi-fi, et du serveur qui l'utilise à priori :
http://technet.microsoft.com/fr-fr/library/cc732049%28v=ws.10%29.aspx

Pas de danger apparent

 

[hyunkel30]

  Bonjour,

Allez, un p'tit phishing, ça faisait longtemps ...



Bon déjà, j'suis pas client BNP Parisbas 
Ensuite vraiment grossier l'adresse mail d'envoi ...

Et enfin le lien renvoi vers ... une erreur 404 

[ichigo11]

Tient, pas à BNP non plus et j'ai pourtant reçu un mail ! Ca a l'air d'être à la mode en ce moment. 
Le fichier HTML a l'air d'être une grosse copie du code source de la page de login BNP. J'ai vite fait survolé le code source, mais rien vu de bizarre dedans. 

[chrisnvdia]

Ola les amis

Je viens de recevoir un joli mail de la CAF 



   

[igor51]

Un mail pour hotmail

http://up.security-x.fr/file.php?h=Rafdbbea06893ce023278b10a0ec7870b

[chantal11]

Bonjour,

Je ne l'avais encore jamais reçu celui-ci 

[hyunkel30]

 

Les phishing Orange commencent 



Le lien est bloqué par Firefox et d'autres navigateurs

Si on passe le blocage, on tombe sur une erreur 404, sur un serveur des pays-bas probablement détourné lui aussi :
hxxp://q-rant.nl/cv/xx/cd/http-id.orange.fr-auth_user=bin+authNuser.cgi/

Vu le titre de page, cela contrefaisait la page d'identification "normale" d'Orange :
hxxp://id.orange.fr/auth_user2/bin/auth_user.cgi

 

[chantal11]

 

C'est la bonne période pour les impôts   



 

[chantal11]

Bonjour,

Une autre variante



https://www.virustotal.com/fr/url/ab35bd392b54060d8278ac633cca60ac3881f0f8cc41cfe60faee75561f98f0b/analysis/1402080185/

[Torest]

Bonjour à tous,

Je n'ai pas trop le temps de venir en ce moment 

Je mets ici un courriel tout frais de ce matin :



Et voici le lien :

http://www. googleadservices.com/msgaclk?sig=AMX_-N87cRLVApgilCzCn34g1EmgEgql-CgBMLm3BjiHxAhAAUoTCJHWn8nl-LsCFYZzTAodsmUAAFDZ2R5Q6AdQsOoBUNKC5gRYmxdgyt2O7wNw_b8FeACIAQE&adurl=http://marlikhotel.ir/red.html

NB : J'ai mi un espace dans le lien au cas où ^^

[hyunkel30]

  Bonsoir,

Phishing Orange : (mail très mal fait, page d'authentification un peu mieux ...)



Le lien mène à une fausse page d'identification :

hxxp://service-messageriecompteorange.2fh.co/

Non détecté à cette heure par les navigateurs, mais je l'ai signalée.

 

[nicoolas]

J'ai essayé d'aller sur la page hyunkel, bah avast! me l'a bloqué 

[hyunkel30]

  c't'une bonne chose alors ...

[Neigara]

Bonjour,

Un mail de la caf reçu par mes parents :

L'image entière (entre les bandes bleues) redirige vers hxxp://adailyfix.com/pc/redirect.php

[jawaryinti]

Bonjour
Un nouveau type de phishing, je pense que cela existe depuis longtemps.
Je reçois depuis quelques mois des mails au nom style Caroline.m, et dont le titre est Demande de renseignements
Le contenu du mail est vide, et il y a un lien pourri Se désinscrire qui est écrit un peu n'importe comment avec des caractères bizarres.
Je les mets dans les expéditeurs bloqués. Ne jamais cliquer sur Se Désinscrire, car c'est pour nous voler des infos confidentielles.
Le nom de l'expéditeur est toujours un prénom féminin et son adresse est bizarre.

[hyunkel30]

Bonjour,

Reçu de très nombreuse fois depuis quelques semaines sous diverses forme, Thunderbird bloquant les données distante, le message est vide chez moi, avec le lien de désinscription, donc poubelle et spam

[jawaryinti]

Bonjour hyunkel
Oui, c'est exactement ça, le message est vide.
Donc, ce sont des spams.

[hyunkel30]

Hello

Phishing Paypal, assez mal fait, mais bon :



La page est déjà détectée comme contrefaite par les navigateurs.

[Neigara]

Bonjour, =)

Un ami a reçu un mail pour une "enquête" pour le site de la fnac  et gagner des sous évidemment !




Les liens renvoient vers : hxxp://www.draftones.com/a.html?tp=1&u=9f6c89069f6b125eff2b2318cc378444&sh=eb09ed25dee996032f025554cdd1d03d&s=HotmailFR%7c25&so=25&c=158655&v=&v1=0&v2=0&z=0&a=aHR0cDovL3B1YjE5LmNvbS90czQ1Ni1lbWFpbGNsaWNrcy1mbmFjLWZyLmNvbQ..

[sergio100fr]

Bonjour à tous,

Vous risquez de recevoir un mail nommé "on est tous charlie" qui est diffusé à grande échelle depuis ce WE .

Dans ce message une photo de bébé avec un bracelet de naissance où il est écrit "on est tous charlie" vous invitant à cliquer sur la photo.

Ce message contient un malware (virus) qui permet de prendre le contrôle à distance de votre ordinateur et de récupérer toutes vos données et mots de passe.

Source : service de cyber criminalité du ministère de la défense.

[chantal11]

Bonjour,

Un mail frauduleux facilement repérable



En plus, je n'attends aucun colis 

[hyunkel30]

  Hello,

Phishing Free-mobile reçu ce matin, c'est assez grossier, mais y'a de quoi se faire piéger : (bon pas de chance, je suis pas chez eux déjà  )



L'adresse redirige vers :
hxxp://freemobile--moncompte.com/moncompte/**********/ (c'est aléatoire et changeant)
Qui affiche la page d'identification Free mobile

C'est là que c'est piégeux vu le nom du site, mais un WhoIs montre :

http://network-tools.com/default.asp?prog=express&host=freemobile--moncompte.com

 

[hyunkel30]

  Hello,

Phishing Orange,

Là encore, c'est grossier, mais bon :



Pas de chance pour le créateur, son lien est dead 

[nicoolas]

Nouveau cas de phishing, reçu ce matin dans ma boîte hotmail alors que je suis client chez Free avec ma boite gmail 

[nicoolas]

Décidément, encore un mail de phishing, cette fois-ci, pour le crédit mutuel !



Avast détecte le site comme malveillant :

[Brunoc]

Nouvelles pratiques sur le bon coin. Pour la vente d'un frigo à 200€:
(notez que je ne suis pas le seul à l'avoir reçu: http://blog.guilou.fr/les-sms-louches-recus-apres-une-annonce-sur-leboncoin/comment-page-80/)

----- Original message -----
From: eugenie moulin <moulin.24@hotmail.com>
To: Bruno <*****************>
Subject: Frigidaire Liebherr T1400 sous garantie.
Date: Wed, 2 Sep 2015 09:04:36 +0000

Bonsoir,
Ayant visualisé votre annonce et c'est d'un accord commun que mon époux et moi avons décidés de vous l'acheter. Concernant le règlement nous vous effectuerons un mandat postal sécurisé de sorte que vous nous réserviez le bienpour 2 semaines vu que nous sommes actuellement hors métropolepour des raisons professionnelles. Et si cela vous convient veuillez donc me faire parvenir votre PRIX FERME ;NOM et PRÉNOM ; ADRESSE ainsi que vos CONTACTS téléphonique afin de savoir à quoi s'en tenir au niveau de la poste. Nous comptons donc sur votre bonne foi tout en espérant qu'il nous soit réservé. Pour la récupération nous conviendrons d'une date à votre adresse une fois que vous m'aurez confirmé la bonne réception des fonds.


Meilleures Salutations,
Eugénie MOULIN

[hyunkel30]

Phishing Orange :



Le lien est une redirection vers :
hxxp://brisbeautysalon.com/id/fr/7284b0f690db53ab3e77cc7ddeadafda/index.php

Site détourné, non bloqué à l'heure actuelle, présentant la page d'identification Orange.

[Tawal]

Hello 

Pishing sur les impôts reçu le 11 nov. 2015 :



L'entête du message :

   De:    MAIL G0UV <asgency-gbc@sfr.fr>
Reply-to:    MAIL G0UV <asgency-gbc@sfr.fr>
À:    servicio <servicio@impot.fr>
Sujet:    Taxe annuel - R&mboursement
Date:    Wed, 11 Nov 2015 23:26:05 +0100 (CET)

La fausse page de remboursement : = hxxx://salonflot.com/wp-includes/js/swfupload/and21lc/taxeandimp/redirection.php?g4d3bdOsiuarHDdBl0bEP6dBVy_wP1WJ6XZDh7nemRp9bv2mHJ0HYZaZV6xWExsS



Le site officiel :



  Si j'ai le choix d'être client ... 

[hyunkel30]

  Allez, cela faisait longtemps :



Phishing Banque populaire, assez mal fait

Le lien mène vers :
hxxp://163.172.33.110/populaire/59fc1469b1ea0d9a848cead68c03bc9b/index.php

La page reprend le site de la Banque populaire, elle n'est pas encore détectée comme Phishing, je l'ai signalée.

[jawaryinti]

Bonsoir,
Reçu ce jour un mail indésirable avec le logo de la Banque Populaire, il faut faire attention.
Ils ont dis que j'avais deux messages.
Ils ont mis un lien-texte Accéder à mon compte pour cliquer dessus, mais je ne suis pas dupe, cela mène sur un site pirate.
Cela vient d'un serveur marocain.
Je n'ai aucun compte à cette banque, et plus il y a des fautes grossières.

[hyunkel30]

Bonjour,

Phishing assez grossier concernant Orange :

Déjà le corps de mail est une image, donc bloquée par défaut sous Thunderbird par exemple



L'image cliquable renvoi vers :
http://portailv3orangessl.hopto.org/83ed8148b991d351a90c232927e10046/index.php

La page n'est pas encore détectée par le SafeBrowsing, mais je l'ai signalée

:jap:

[hyunkel30]

Bonjour,

Phishing pas très convaincant ciblant les client Société générale (ce que je ne suis pas, donc loupé  )



Le lien mène vers :
hxxp://ip142.ip-164-132-208.eu/socgen/T0RNNU5qRXpPVFUwTlRRPQ==/

Fausse page de connexion Société générale

La page n'est pas encore bloquée par les navigateur, je viens de la signaler

:jap:

[jawaryinti]

Bonsoir,
Reçu un mail de Carrefour qui me disait que j'avais gagné un bon d'achat de 250 euros et que je dois cliquer sur un lien, et que je possédais la carte pass. Le lien était pourri. Je reçois pas mal de mails de phishing en ce moment du tout et n'importe quoi.

[hyunkel30]

Bonsoir jawaryinti,

Le principe de ce sujet est dans la mesure du possible, de mettre la capture d'écran afin d'informer les usagers sur les pièges du phishing
Pareil avec le lien, désactivé, comme expliqué dans le message initial

Sinon, cela a peu d'intérêt.

 

[jawaryinti]

Bonjour,
Un phishing pour dérober les données bancaires
   


C'est pas évident pour héberger une image

[Xylitol]

Plop all,
Je fais tourné depuis quelques mois un 'tracker' de phishing, j'attrape un peut de tout, le feed reçu vise majoritairement la France.
Y'a pas de 'screenshot' mais les mails de phishing peuvent être visionné au format texte et html, y'a possibilité de les télécharger au format .eml, et y'a une syndication RSS aussi.
A cause du contenu mon tracker et en accès restreint, droppé moi un pm si vous voulez un accès.
Voilà une démo vite fait: https://www.youtube.com/watch?v=onWDN_3i2nk

[igor51]

Reçu à l'instant

https://security-x.fr/~igor51/pavpal.png

l'url (j'aime cliquer sur les liens) hxxps://pavpal.com.webapps-mpp-secure-login.ewginegroup.com.my/

[jawaryinti]

Bonjour,
Un faux mail de la banque populaire


Pourquoi on me demande toujours un authentification quand je veux répondre à un sujet ?

[jawaryinti]

Bonjour,
Un faux mail EDF

[/url