04 décembre 2020

  • Faux SMS TousAntiCovid : comment un phishing est-il désactivé ?

TousAntiCovid Plus de 6 heures après la parution d’un article sur Cyberguerre, le dangereux phishing qui imitait le gouvernement n’était toujours pas hors ligne.

En conséquence, des victimes mal informées pouvait encore tomber dans le piège des malfaiteurs. Heureusement, le site a finalement été mis hors d’état de nuire peu après.

Ce 4 décembre, nous vous alertions sur un dangereux phishing : copie parfaite du message de promotion du gouvernement pour TousAntiCovid. Sauf qu’au lieu de rediriger ses destinataires vers un portail pour installer l’app officielle, le SMS les envoyait sur une copie malveillante.

Son objectif : leur faire télécharger un malware particulièrement virulent, nommé Alien.

Plus de 6 heures après la parution de notre article, le site du phishing était encore actif, mais il a été mis hors d’état de nuire peu après. Les services utilisés dans la mise en place du phishing, Bitly et Cloudflare, avaient été prévenus via leurs formulaires d’abus, dédiés à la gestion de ces problèmes. L’équipe en charge de TousAntiCovid s’était aussi saisie du problème.

🔴 Attention : tentative d’hameçonnage en cours sur Android

La campagne de SMS du @gouvernementFR est terminée depuis mercredi.

👉 Vérifiez l’URL, elle doit finir par https://t.co/JqY3MDKEo9

👉 Installez l’application #TousAntiCovid depuis : https://t.co/ctkqNTIb7m

— TousAntiCovid (@TousAntiCovid) December 4, 2020

Mickaël, contact régulier de Cyberguerre et passionné par le signalement de phishing, ne s’étonnait qu’à moitié de la situation. « D’habitude, CloudFlare prend entre 2 et 3 jours à réagir. Pour Bitly, c’est plutôt entre 1 et 2 jours », estimait-il.

Le site a finalement été isolé par son registrat, Namecheap, avant que les deux entreprises et l’hébergeur n’aient agi. C’était l’un des quatre scénarios qui pouvait mettre fin à ses nuisances.

Oui, c’est donc Namecheap (Registrar) qui a réagit en 1er en supprimant les entrées DNS du domaine https://t.co/9p9M6fqhFS (Photo 1 ce matin, 2 à l’instant)

Action à l’issue d’un Ticket (le mien était de ce matin 11h). Le lien bitly reste encore actif ce soir mais n’aboutit plus pic.twitter.com/FkHWnVwAaL

— Fabian RODES (@FabianRODES) December 4, 2020

Quatre niveaux d’intervention pour mettre fin à la diffusion du phishing

  • Premier niveau : couper la source, le lien Bitly du message

Pour protéger tous les destinataires du message, une des mesures possibles était de couper le lien malveillant diffusé par le SMS, https://bit[.]ly/AntlCovid19.

Bitly est un raccourcisseur de lien, utilisé ici par les malfrats comme première maille du phishing en cachant l’adresse de la page malveillante.

Concrètement, lorsqu’une personne cliquait sur le lien de Bitly, elle était redirigée immédiatement sur le site frauduleux, covid[.]tousensemble[.]app.

« Il est déjà possible de bloquer l’attaque ici en supprimant la redirection ou bien en le redirigeant vers le vrai site de TousAntiCovid », estimait Fabian Rodes, avant la mise hors ligne du site.

Alerté via son formulaire d’abus, c’était à Bitly de mettre une de ces deux actions en place. Ce qui aurait suffi à neutraliser le phishing.

Message-gouv
À gauche le vrai message du gouvernement À droite, le SMS de phishing avec le fameux lien Bitly.
  • Deuxième niveau : rediriger hors de la page malveillante

« Le nom de l’hébergeur de la page de phishing est caché par Cloudflare », constatait le consultant. Il précisait : « Dans le jargon, Cloudflare est ce qu’on appelle un service de ‘reverse proxy’. Il se place entre l’utilisateur et le site, et propose plusieurs fonctionnalités, dont celle de masquage. » Là encore, Cloudflare servait donc d’écran. Mais à la suite du signalement, l’entreprise aurait pu décider d’arrêter de rediriger les utilisateurs vers la page malveillante.

  • Troisième niveau : le registrar rend le site inaccessible 

C’est finalement le scénario qui s’est produit, 7 heures après la parution de notre premier article, et avant les trois autres. Le registrar, ici Namecheap, est le service qui a permis aux malfaiteurs d’acheter le nom de domaine tousensemble[.]app.

Après signalement, le registrar a pu supprimer les entrées DNS du site. Autrement dit, il a supprimé l’élément qui permettait aux navigateurs (Chrome, Edge, Firefox…)de trouver où se trouve le site, et ils ne pouvaient donc pas s’y connecter. Le site est donc possiblement toujours actif, mais on ne peut plus y accéder.

  • Quatrième niveau : l’hébergeur débranche le site

L’hébergeur du site aurait pu décider de le mettre hors ligne. Mais son identité était masquée par Cloudflare, de sorte qu’il n’était pas possible de le contacter. Le site malveillant est donc vraisemblablement toujours actif, mais il n’est plus accessible grâce aux actions du registrat.

 

🍪 Coucookie !

Si nous utilisons des cookies et retenons des données anonymisées, c’est pour nous aider à mieux faire notre travail de mesure d’audience, aider nos partenaires commerciaux à nous rémunérer et nos partenaires publicitaires à proposer des annonces qui vous correspondent. Bref, rien qui ne sort de notre activité de média.

Accueil

Lire Plus

 

0 CommentsClose Comments

laissez un commentaire

Abonnez-vous à la newsletter

Obtenez les derniers messages et articles dans votre e-mail

 

Nous nous engageons à ne pas envoyer de spam :)