Toute l'actualité des noms de domaine et nouveaux gTLDs

Archives de mots clés: phishing

Facebook : phishing très convaincant en français

Repérés par Security Web-Center, plus d’une trentaine de sites de phishing – ou hameçonnage – reprennent les traits d’une connexion Facebook dont un site français particulièrement bien réalisé.

Alerte aux sites de phishing pour les utilisateurs Facebook. Security Web-Center dresse une liste non exhaustive de 35 sites qui reprennent avec plus ou moins de brio l’apparence de la page de connexion au célèbre réseau social. Parmi ceux-ci, frfacebook.fr gagne la palme de la contrefaçon la plus réussie.

Le faux est bien réalisé, et il est possible de s’y méprendre sans trop faire attention en cliquant sur un lien transmis à des fins malveillantes. Rappelons que le nom de domaine officiel pour Facebook en français est fr-fr.facebook.com. Les défenses contre le phishing des navigateurs Web commencent heureusement à tiquer ( du moins celles liées à la technologie Google ).

Les sites de phishing comme ceux pointés du doigt par la veille de Security Web-Center ont généralement pour but de voler des informations de connexion et corrompre des comptes :

 » Parfois, les spammeurs créent des pages fausses qui ressemblent à la page de connexion Facebook. Lorsque vous entrez votre adresse électronique et votre mot de passe sur une de ces pages, le spammeur enregistre vos informations et les conserve. C’est ce qu’on appelle l’hameçonnage. Lorsque le compte de quelqu’un a été hameçonné, ce compte se met souvent à envoyer automatiquement des messages ou des liens à un grand nombre de ses amis « 

, explique Facebook dans son aide.

Ci-dessous, la page de phishing ( frfacebook.fr  ) et à droite la page officielle de Facebook :

Facebook-phishing-fr Facebook-connexion

source Generation-NT.com

Fraude au renouvellement de votre nom de domaine

De fausses factures de renouvellement de nom de domaine font leurs réapparitions. Mission : voler vos données bancaires. Dans la série « comment mettre la main sur vos données bancaires« , une fraude qui ne date pas d’hier mais qui refait surface, en force, depuis quelques jours.

C’est J2010, un lecteur de ZATAZ.COM, qui vient de nous remonter le courrier pirate. L’idée est simple. Une facture sans en-tête, ni nom de société vous informe que votre nom de domaine arrive bientôt à expiration. Il existe de nombreux moyens pour être informé de l’expiration future d’une adresse Internet. L’idée des escrocs, écrire aux propriétaires des urls en fin de vie.

Le courriel est une facture, qui propose de renouveler votre précieux. Dans la nouvelle vague phishing, ZATAZ.COM a repéré plusieurs adresses web qui vous propose de fournir vos données bancaires : domurlannual .com ; iglobalmerchantservices .com.

Pour rappel, ZATAZ.COM vous déconseille fortement de fournir vos données bancaires via des sites ne présentant pas un HTTPS. Nous vous préconisons, en plus, d’utiliser des cartes de paiement de types Paywebcard. BNP Paribas, CIC, Crédit Mutuel, … proposent ce type de service. Un numéro, un montant, pour un paiement unique.

A noter que pour ces envois, notre « commerçant » passe par le serveur d’un concessionnaire automobile Chinois, whchcar.

Source Zataz.com

Piège pour les clients SFR Neuf télécom

Le site espace Client SFR neuf usurpé. Un pirate exploite la marque au carré rouge pour détourner les données des utilisateurs. Une attaque débutée ce week-end vise de manière assez efficace les clients de l’opérateur/FAI SFR neuf Télécom.

Tout débute par un courriel aux couleurs de la marque au carré. L’escroc explique dans son courriel usurpateur que : « Nous avons le plaisir de vous informer que votre paiement en date du 10/09/2011 d’un montant de 40.27 € a été refusé par votre banque. Ne pouvant pas faire un prélèvement automatique concernent le paiement par carte de crédit de votre facture,suite au refus de votre établissement bancaire; et n’ayant pas pu vous joindre par téléphone, Nous avons crée une fiche spéciale,qui vous permet d’accéder directement au paiement. Merci de ne pas répondre a ce message. cliquez sur le lien qui apparaît en dessous de ce message pour pouvoir accéder a votre fiche de renseignements. Bien vouloir lire attentivement la fiche et nous communiquer les renseignents utiles qui nous permettrons de prélever cette somme.(*). »

Le pirate a enregistré un nom de domaine qui pourrait piéger les lecteurs peu regardant. Le e.voleur dirige ses futures cibles sur l’adresse espaces-clientneiufbox.com. Prudence, l’unique adresse officielle SFR/Neuf est SFR.FR. (EB)

Auteur : Damien Bancal
Source : Zataz.com

iOS vulnérable aux attaques par Phishing ?

Le chercheur en sécurité Nitesh Dhanjani, a découvert une faille qui pourrait aider les spécalistes du Phishing. Pour rappel, le Phishing est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels (mot de passe, numéro de carte de crédit,…). Le chercheur a démontré qu’il était possible d’utiliser le mode web application d’iOS, qui affiche des pages web en masquant la barre d’url, à des fins malhonnêtes.

Vous l’aurez compris, la barre d’adresse est cachée, il est alors très simple de rediriger l’utilisateur vers un faux site Web, sans qu’il le remarque. Pour imager son exemple, il a mis en place un site web qui reprend l’interface complète du site mobile de Bank of America (voir ci-dessus). Il reprend même la même la barre d’URL qui n’est seulement qu’une image pour que les visiteurs ne se doutent de rien.

Apple a été prévenue du problème potentiel de sécurité de cette faille recèle, mais n’a pas encore pris de mesures pour la contrer.Pour résoudre ce problème, Nitesh Dhanjani préconise d’afficher en permanence le nom de domaine pour informer l’utilisateur.

Source: iPhoneAddict

La Belgique, terre promise des pirates ?

Les sites en .be dans le top cinq mondial des espaces numériques qui attirent les pirates. Les sites Internet belges, en .be, attireraient les amateurs de phishing (hameçonnage, filoutage). C’est ce qu’indique l’Anti Phishing Workgroup. La Belgique se situe dans le top 5 des espaces les plus abusés, juste derrière la Thaïlande, la Corée et l’Irlande.

D’après l’APW, sur 10.000 noms enregistrés avec le suffixe .be, 4,6 sites sont utilisés pour diffuser des filoutages. 11,5 noms de domaine en .be, sur 10.000 enregistrés, permettent aux pirates de cacher un site d’hameçonnage de données bancaires.

Pourquoi le .be ? Il semble que ce suffixe soit bon marché, près de 3€ et rapidement mis en place.

Source: Zataz.com

Feu libre sur les pirates Internet

La société Switch qui est responsable de la gestion des noms de domaine suisse (.ch) et qui fournit des services aux hautes écoles va renforcer la lutte contre le piratage sur Internet. Switch bloquera toutes les adresses utilisées pour des opérations de cybercriminalité. Ces adresses seront bannies du réseau suisse.

A partir de lundi, Switch bloquera toutes les adresses utilisées pour des opérations de « phishing » (voir ci-contre) ou de diffusion de virus. Ces adresses seront bannies du réseau afin de mieux lutter contre la criminalité informatique, a annoncé lundi Switch,  la fondation qui est chargée d’enregistrer les noms de domaine finissant en « .ch » depuis 2003.

Sites suisses peu risqués

Environ 5% des sites web sont considérés comme dangereux sur le plan mondial. Pour les noms de domaine suisse (.ch) les risques sont évalués à 0,2%, alors que pour les adresses du Cameroun (.cm), c’est 37%! Aller sur ces sites web, c’est courir le risque d’être la cible d’une opération de piratage informatique, selon une étude de McAfee (fournisseur d’anti-virus).

Switch a mis sur pied une équipe qui va protéger tous les usagers du cyberespace helvétique. Toutefois, cette équipe,  nommée Switch-CERT ne pourra agir que sur les opérations cybercriminelles suisses. Elle va utiliser les bases de données de la confédération en matière de sécurité informatique (MELANI). Le Conseil fédéral avait modifié en novembre l’ordonnances ad hoc afin de permettre à SWITCH de procéder à des blocages de sites.

Spam, Phishing, Hoax, Virus (voir ci-contre), ces noms barbares désignent les nouveaux types d’attaques informatiques sur Internet. Tous les ans, cela représente des millions de francs de perte pour l’économie suisse. Dans une étude de la Confédération, on estime que 70% des entreprises ont leur infrastructure informatique attaquée chaque année.

Source: TSR.ch

Eurid va tester la méthode sécuritaire DNSSEC

Eurid, le gestionnaire du domaine européen de top level .eu, va d’ici quelques jours lancer un projet de test de la méthode de protection DNSSEC. L’introduction de ce nouveau protocole sécuritaire est considérée comme une étape importante dans la lutte contre le hameçonnage (‘phishing’).

Un internet (plus) sûr est l’un des thèmes importants de la réunion de l’Icann organisée cette semaine à Séoul. Le fait que l’instance qui gère le système des noms de domaine au niveau mondial, entend introduire dans les années à venir des centaines de nouveaux suffixes, n’y est pas étranger. Les nombreux ateliers consacrés à l’e-crime et à l’abus du DNS sont suivis avec attention par les centaines de personnes présentes sur place.

L’un des sujets chauds est l’arrivée du protocole sécuritaire DNSSEC (DNS Security Extensions) pour les domaines de top level. Depuis que l’expert en sécurité Dan Kaminsky avait l’an dernier fait part d’une sérieuse brèche DNS au niveau mondial, il se fait que seule la nouvelle méthode de protection offre une solution plus ou moins étanche à la défense de l’intégrité du système de noms de domaine. DNSSEC sera même obligatoire pour les nouveaux suffixes internet qui arriveront.

« C’est une bonne chose », estime Marc Van Wesemael, patron d’Eurid, « car ainsi, le protocole pourra être lancé sur le marché. Actuellement, il est encore malaisé de persuader les ‘registrars’ (les petites entreprises commerciales qui enregistrent les noms de domaine) de l’utilité de DNSSEC. Souvent, ils ne sont pas encore prêts à y consacrer du temps et de l’argent supplémentaires. C’est dû en partie à une méconnaissance du sujet. »

DNSSEC introduit les ‘public key algoritmes’ dans le système des noms de domaine. En langage de tous les jours, cela signifie qu’à chaque réponse donnée par le protocole DNS est associée une sorte de signature numérique. Les esprits malfaisants ne pourront plus polluer la cache et orienter les internautes naïfs vers des sites factices, du fait que l’authenticité de l’information demandée sera toujours vérifiée. Les internautes aboutiront donc en principe toujours à l’endroit qu’ils recherchent.

Il en résultera que le processus d’enregistrement d’un nom de domaine sera plus compliqué, parce que chaque nom de domaine devra être pourvu de ce genre de clé numérique. En outre, on assistera à une multiplication (de 6 à 10 fois) du fichier zone, dans lequel tous les noms de domaine sont stockés car toutes ces signatures viendront évidemment s’y ajouter. Pour un pays comme l’Allemagne, qui compte plus de 13 millions de noms de domaine, ce sera tout sauf évident.

« Durant la phase de test, nous voulons aussi vérifier ce qui va se passer au niveau des performances », ajoute encore Van Wesemael. « C’est très bien que l’on reçoive une réponse signée, mais il faut encore la décrypter, ce qui prend du temps. En d’autres mots, le processus sera nettement plus lent, ce qui aura comme conséquence que les ‘registrars’, mais aussi les exploitants des TLD et les ISP devront utiliser du matériel plus puissant. »

« Nous nous attendons à ce que le test donne ses résultats au début de l’an prochain », conclu le directeur général. « Nous pourrons alors fixer une date à laquelle nous allons réellement démarrer. »

auteur : Frederik Tibau
Source DataNews.be

Attaques de Phishing, le botnet Zeus (Zbot) passe à la vitesse supérieure

Depuis le début du mois d’octobre, de nombreuses attaques de Phishing sont menées par un ou plusieurs groupes de pirates. Dans un premier temps, ces attaques étaient simples et facilement identifiables, elles deviennent désormais de plus en plus sophistiquées et donc dangereuses pour les entreprises comme pour les particuliers.

Ces pirates tentent actuellement de développer un botnet nommé « Zeus », en lançant massivement ces emails de Phishing. Revenons au début du mois, où des milliers d’emails ont été envoyés sur Internet.L’email ressemble ici à tous les SPAM classiques : un virus attaché en pièce jointe ( « install.zip »). Ce fichier est un malware plus connu sous le nom de « Zeus », un malware de type « banker », c’est-à-dire capable de voler les identifiants des sites bancaires visités par ses victimes. Quelques jours, plus tard, d’autres emails du même type sont envoyés. Cette fois-ci, un lien est inséré au sein du corps de l’email. Ce lien renvoie vers un site aux allures d’une webmail Outlook Web Access qui propose de télécharger une mise à jour Outlook.

 

L’attaque utilise des caractéristiques précises de sa victime (ici notre nom de domaine xmcopartners.com) en ajoutant un suffixe exotique .vvorip.co.uk. Il est intéressant de noter que n’importe quel nom devant le domaine vvorip.co.uk redirige vers le même site. On notera l’effort particulier des pirates qui insèrent dans la page web malicieuse le nom de l’entreprise victime. Enfin, la dernière attaque en date est de plus en plus professionnelle.

Le nouvel email utilisé est envoyé à partir de l’adresse « noreply@microsoft.com » (Microsoft Update Center comme expéditeur) et propose également une mise à jour du logiciel Outlook.

La qualité de l’email est remarquable, des couleurs jusqu’au nom de domaine, aucun élément n’est choisi au hasard afin d’éviter la suspicion des futures victimes.

Un lien pointe vers le nom de domaine « http://update.microsoft.com.okkkikkl.eu » toujours aux allures du véritable site de Microsoft.

L’exécutable proposé (Officexp-KB910737-FullFile-ENU.exe) est toujours une variante du malware « Zbot » qui permet de voler les mots de passe des victimes. Ce dernier est détecté à 25% par les antivirus du marché (référence Virustotal).

Avec cette capacité à personnaliser et à produire des emails de phishing aussi bien ficelés, il est certain de le botnet Zeus va faire parler de lui d’ici plusieurs semaines. Un tel botnet pourrait servir à lancer des attaques massives de type DDoS et à voler des mots de passe (banques, ebay…).

 

auteur : Adrien Guinault
Source GlobalSecurityMag.fr

Comment se prémunir des courriers électroniques frauduleux

Début octobre, la direction générale des finances publiques avertit les internautes que des courriers électroniques frauduleux, demandant des informations personnelles et un numéro de carte bancaire en prétextant un remboursement d’impôts, ont été reçus par plusieurs contribuables. De faux courriels prenant l’apparence de messages de la Caisse d’allocations familiales font également leur apparition. La semaine dernière, Microsoft, Google et Yahoo! découvrent que les comptes de plusieurs dizaines de milliers d’utilisateurs de leurs services de messagerie ont été piratés, là aussi par le biais de courriers électroniques frauduleux.

Les escrocs tentent de récupérer des informations bancaires grâce une technique appelée « hameçonnage », du néologisme anglais « phishing » : un faux prétexte (l’appât) vous incite à donner ces informations, qui sont ensuite utilisées frauduleusement. L’envoi massif de courriels est simple et bon marché : il suffit qu’un très faible pourcentage d’internautes mordent à l’hameçon pour que l’escroquerie fonctionne. Quelques règles de base permettent toutefois d’éviter les pièges.

Ne jamais communiquer d’informations personnelles, de mots de passe ou de coordonnées bancaires à la suite d’un courriel. Qu’il s’agisse des impôts, de votre banque, de sites de commerce comme eBay ou de services comme Paypal, aucune entreprise ne vous demandera jamais de lui communiquer votre mot de passe ou votre numéro de carte de crédit. Si vous recevez un courrier électronique vous demandant de « mettre à jour » ou de « renouveler » votre mot de passe, et ce même si le message a l’air de provenir d’une entreprise que vous connaissez, il s’agit d’un faux.

Ne pas répondre à un courriel sollicitant un mot de passe, de l’argent ou des coordonnées bancaires. Quelle que soit la demande qui vous est faite, il est très fortement déconseillé d’y répondre. Toute réponse envoyée confirme aux auteurs du courrier que votre adresse est valide et risque d’entraîner l’envoi de nombreux autres messages frauduleux.

Avant d’effectuer un paiement en ligne, vérifiez l’adresse du site. Une technique fréquemment utilisée par les escrocs est l’achat d’un nom de domaine ressemblant à une adresse légitime : « payqal.com » au lieu de « paypal.com », par exemple. Vérifiez scrupuleusement que l’adresse du site sur lequel vous vous trouvez est bien la bonne, et avant d’entrer un numéro de carte de crédit, assurez-vous que l’adresse de la page commence bien par « https », qui indique une page sécurisée, et pas seulement par « http ».

Variez et renforcez les mots de passe. L’utilisation d’un seul mot de passe pour tous vos services en ligne présente un risque. Si vous utilisez le même mot de passe pour votre messagerie, votre compte Facebook et celui d’un forum auquel vous participez, les risques d’être victime d’un piratage augmentent. Si un pirate s’introduit dans votre forum et découvre votre mot de passe, il peut alors entrer dans votre messagerie. Pour les mêmes raisons, il est fortement recommandé d’utiliser un mot de passe « fort », impossible à deviner. Préférez un mot de passe généré aléatoirement à une date de naissance, par exemple. De nombreux sites permettent de créer aléatoirement des mots de passe efficaces.

Lisez attentivement le message. Courrier écrit dans un français approximatif, sans accent ou ponctuation, utilisant des tournures étranges ou se réclamant d’un organisme inconnu : ce peuvent être des signes qu’il s’agit d’un faux courrier, rédigé par un escroc qui a traduit à la va-vite un message écrit à l’origine dans une autre langue.

Utilisez un logiciel de protection à jour. En plus de protéger votre ordinateur contre les virus et les programmes espions, certains antivirus proposent également un système de détection des messages frauduleux. Les navigateurs comme Internet Explorer ou Firefox peuvent également vous avertir si vous êtes dirigés vers un site frauduleux, et la quasi-totalité des systèmes de messagerie (Hotmail, Gmail, Yahoo!) disposent également d’un filtre qui efface automatiquement ces messages. Aucun de ces outils n’est infaillible : vous pouvez toutefois aider à les améliorer, en signalant les messages frauduleux que vous recevriez.

source LeMonde.fr