Enquête sur un phising par Twitter

Ce matin, je suis surpris par un message un peu incongru d’un de mes contacts sur Twitter:

Guidé uniquement par ma curiosité je décide de suivre le lien qui m’amène sur une page http://mspaworldwide.net/twitter/ qui ressemble en tous points à la page d’accueil de Twitter:

Un petit regard au code source finit de me convaincre qu’il s’agit bien d’un phishing:

et … si l’on remplit le petit formulaire de connexion on est finalement redirigé sans encombre sur la vraie page de twitter (qui, si on est déjà connectés, affiche de toutes façons la liste des publications de nos contacts). Rien de très « high-tech » donc.

Je suis déjà surpris que de nombreuses heures après le début de cette campagne de phishing mon navigateur n’affiche pas une alerte (testé sous Chrome, Firefox, Internet Explorer, à cette heure – 12:07 – seul ce dernier affiche une alerte). Au passage toujours, Twitter utilise http://t.co/ pour relayer ce lien (quand on clique dessus en réalité on passe par http://t.co/2acFQb3 avant d’être redirigé vers le lien original en tinyurl) qui est un domaine censé permettre à Twitter de lutter contre ce genre de problèmes:

Apparemment leur système n’a pas encore détecté le problèmeLes pages d’aide de Twitter nous indiquent qu’on peut signaler les abus de http://t.co/ en envoyant un message à tcoabuse@twitter.com, ce que je viens de faire évidemment.

Je ne sais pas si mon contact a laissé accès à son compte à une application mal intentionnée ou a succombé à la tentative de phishing elle-même… dans l’un et l’autre cas l’ensemble de ses contacts ont donc pu recevoir un message direct les invitant à visiter cette page. (15:27: La victime me confirme que c’est passé par le site de phishing lui-même, pas d’application en cause).

Si vous-même êtes tombés dans le panneau, pas trop d’inquiétude et suivez les indications du support de Twitter pour changer votre mot de passe. Je vous conseille de supprimer aussi les messages directs qui doivent apparaître dans votre compte à destination de vos amis (même si les courriers électroniques d’alerte sont sûrement déjà partis…).

Je ne suis pas le premier à parler de ça, bien évidemment (comme ici par exemple et @gcluley en parlait au début du mois de juillet dans un de ses articles, ou encore (17:18@5ct34m il y a quelques jours qui notait qu’on retrouvait la même IP derrière une URL différente).

Epilogue concernant le site de phishing lui-même (14:19): il est hébergé en Chine. En outre, l’adresse IP hébergeant le site Web de Phishing est 220.164.140.252, qui renvoie, à l’heure où j’écris ces lignes (17:25) à des noms de domaine aux noms intéressants comme iltwitter.com, itiwitter.com ou ltwitteri.com entre autres (voir l’image agrandie pour en apercevoir la liste):


Je pense que seul Twitter peut nous en dire plus sur quelles adresses IP se connectent sur les comptes des victimes. Les infractions que l’on pourrait viser pour cette affaire sont essentiellement celles de collecte déloyale de données à caractère personnel, accès frauduleux à un système de traitement automatisé de données et peut-être le détournement de correspondances privées (les scammers envoient des messages, mais en théorie ils peuvent aussi consulter les autres messages).

Mise à jour (14:51): Chrome n’annonçant toujours pas la page comme du phishing, j’essaie de trouver la fonction qui permet de le signaler. Alors:

  • Ouvrir le menu en cliquant sur la petite clé à molette ;
  • Outils > Signaler un problème… et ensuite on suit le guide !
Sous Firefox, malgré les nombreuses indications quant à leur nouvelle version qui serait encore meilleure en matière de lutte contre le phishing, je n’ai pas trouvé où était la fonction pour signaler un phishing, ni sur leur site d’aide en ligne… Mais bon, comme ils utilisent « Google Safe Browsing« , je suppose qu’il suffit de le faire via Chrome ! Mais c’est dommage de ne pas avoir une fonction intégrée pour signaler un site.

Sous Internet Explorer, même principe que sous Chrome:

  • Affichage du menu 
  • Sécurité… Signaler un site Web d’hameçonnage.
18:12 Suite de l’enquête. Un peu agacé que le site de phishing soit toujours accessible, je me suis amusé à chercher un peu plus loin et j’ai découvert que sur le même serveur il y avait une autre forme de phishing qui se fait passer une application Twitter « StalkTrak », censée vous indiquer qui vous suit avec des intentions malhonnêtes sur Twitter:

Le fonctionnement est similaire et derrière l’URL http://mspaworldwide.net/app1/function.api.stalktrak.htm vous avez donc un formulaire qui vous invite à nouveau à rentrer votre identifiant et votre mot de passe Twitter, avec un aspect graphique qui ressemble à celui de Twitter.

Ceux qui se sont fait avoir se retrouvent apparemment à faire la publicité de l’application. Topsy nous donne une petite idée du trafic autour de ce site depuis quelques jours (cliquer sur l’image pour l’agrandir):

On note ainsi un pic le 29 juillet, avec un début de propagation le 27.

Stalktrak lui-même (ce qui semble confirmer ce que je rappelais un peu plus haut sur l’adresse IP du serveur suite à une indication de @5ct34m), tourne aussi au moins depuis le début du mois de juillet comme on peut le lire sur cet article de blog (avec une petite vidéo dedans) et où l’on retrouve un des noms de domaine évoqués précédemment.

05 août: Apparemment un nouveau domaine est apparu depuis hier qui délivre les mêmes contenus illégaux : 3xloanstoday.com. Évitez de vous y rendre et signalez le comme site de phishing.

À propos Éric Freyssinet
Officier de gendarmerie. Chef de la division de lutte contre la cybercriminalité, unité de gendarmerie chargée des investigations sur Internet au niveau national. Les idées publiées sur ce blog le sont à titre personnel. Law enforcement officer (colonel with the Gendarmerie nationale in France). Head of the cybercrime division for that agency. Views published on these blogs are personal.

18 Responses to Enquête sur un phising par Twitter

  1. Laurent dit :

    Merci pour l’info, ce phishing est « pas mal fait »…

  2. Dahu dit :

    Sous Firefox 5.0 (Ubuntu) c’est Aide -> Signaler un site contrefait (Help -> Report web forgery en anglais)

  3. weetabix dit :

    Merci, j’ai été touché à 19h , jai changé de MDP aussitôt !

  4. Bonjour, merci pour l’info !

    Petite question : quels éléments du code source de la page vous ont montré qu’il s’agissait de phishing ? C’est pas évident à déceler si on a peu de connaissances en langage informatique.

    • Bonsoir,

      Excellente question. Script PHP utilisé classiquement sur les pages de phishing, appelé par le formulaire. Et il ne me semble pas que Twitter utilise exactement du PHP en natif. En fait, ce que je voulais vérifier c’est si c’était un programme sur le serveur de phishing qui était appelé et non une page sur twitter.com, ce qui confirmait qu’on envoyait les données du formulaire vers le site.

    • Dans ce cas, c’est relativement simple on te demande de cliquer pour voir une photo compromettante de toi. Dans mon cas, la première personne qui m’a envoyé ce DM me connaissait depuis à peine un jour.

      Une personne qui voit une photo compromettante de moi, soit elle ne me connait plus, donc elle n’est plus dans mon réseau, soit elle me connait et m’avertit gentillement. Dans le dernier cas, le message est forcément en français dans ma langue d’origine.

      Dès que j’ai reçu ces DMs, j’ai averti les personnes concernées du problème qui ont relayé au près de leur réseau. Perso, je n’ai pas cliqué sur le lien

      Donc comme tu peux voir, il n’est pas nécessaire d’avoir des connaissances en informatique. Il faut simplement être attentif. Plus c’est gros (photo compromettante de toi), plus le message fait appel à la peur, plus tu as de chance de tomber sur du phising.

  5. Nina dit :

    Bonjour,

    mais comment reconnait-on un phishing via le code source? enfin quels sont les codes pour le reconnaitre? (je suis une quiche moi en informatique!lol)

    merci! :)

    • Bonjour,

      Le bon point de départ c’est le message initial qui cherche à vous renvoyer sur la page en question. Souvent il vous paraît incongru. Dans le cas présent, je savais dès le départ que ce ne pouvait être qu’une tentative de phishing envoyée à l’insu du propriétaire légitime du compte twitter (il ne me parlerait pas en anglais et pas sur ce ton). Le second c’est l’URL (l’adresse dans la barre de navigation) qui n’a rien à voir avec le site que vous pensez visiter.

  6. christesre dit :

    Merci pour cette information en effet les sites phishing sont de vrai fleau, meme signalé ils continu leur activité.
    Dans votre article il apparait que nos navigateurs ne sont pas fiable a la detection, d’ou important d’etre attentif sur les liens cliqués….

  7. Alaise dit :

    Le « pishing » c’est bien de l’hameçonnage en fait ?

  8. Ping : Enquête sur un phising par Twitter | Socialdigitalnews | Scoop.it

  9. Ping : Tentative de phising sur Twitter | Blog de Florent Bertiaux - Webmarketing & médias sociaux 2.0

  10. Je viens de recevoir également ce type de messages. Je suis tombé sur votre article après avoir mené de mon côté une petite enquête (moins poussée).
    J’en ai également fait un article sur mon blog avec un lien vers votre article très instructif: http://bertiaux.fr/2011/08/tentative-de-phising-sur-twitter/
    Merci !

  11. Nina dit :

    Ok, merci beaucoup pour l’info! ;) me ferait pas avoir comme ça! ^^

  12. Ping : Revue de Web Hebdomadaire | Ballajack

  13. Ping : Attention au détournement de l’affaire Megaupload « Criminalités numériques

  14. Ping : Attention au détournement de l’affaire Megaupload « Criminalités numériques

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Suivre

Recevez les nouvelles publications par mail.

Rejoignez 140 autres abonnés

%d blogueurs aiment cette page :