Une attaque par phishing sur le cadavre de Lik-Sang
Ne tirez pas sur l'ambulance...
On le sait, la boutique hongkongaise Lik-Sang.com a décidé de fermer ses portes. Explication officielle ? La multiplication des actions judiciaires menées par Sony Computer Entertainment Europe Limited et Sony Computer Entertainment Inc (interprétation que conteste le géant japonais). Qui dit fermeture, dit nécessairement remboursement des commandes en cours. Un travail de fourmis compte tenu de la célébrité du site dans le monde du jeu vidéo, qui passera par une transaction sous Paypal (le site acceptait ce mode de paiement).
Évidemment, ce flux financier n’a pas échappé à la vigilance des escrocs de tout poil. Ainsi, un lecteur nous a avertis d’un cas de phishing diablement dangereux. Un mail, en anglais, provenant en apparence de Lik-Sang.com (l’information est truquée) et intitulé « Out of Business refunds », indique les modalités de ce remboursement. Pour bien berner le destinataire, il est rappelé le communiqué contre Sony par un lien officiel.
Avant quelques excuses protocolaires sur la situation, un lien profond est placé vers une section du site Ljk-sang.com. Notez le « i » devenu « j ».
La page de garde de ce site clone réoriente vers le vrai site Lik-Sang. Mais le lien profond dans le mail, pointe lui vers une fausse page Paypal. Un montant de remboursement (ici 9,99 dollars) attend le destinataire qui n’aura plus qu’à indiquer son code secret Paypal pour être recréditer. Le champ login est préinscrit avec son adresse mail officielle.
Il est à peine nécessaire de préciser que ces données sont fausses. Dans tous les cas, le mot de passe saisi sera illico envoyé dans les mains de l’émetteur, qui n’aura plus qu’à s’en servir pour des achats sur le net ou virer des fonds.
Pour mieux encore piéger le destinataire, un paragraphe final indique que « si votre compte paypal n’est plus actif sur cette adresse mail, vous aurez à recréer un compte sur le site de paiement en ligne (le lien officiel est donné). Une fois votre compte créé et activé, merci de confirmer votre adresse sur la page ci-dessus » (celle de Ljk-Sang).
L’attaque montre une nouvelle fois la forte réactivité des personnes malveillantes sur ce type d’évènement. L’attaque est toute fraîche : elle n’a même pas été repérée par le filtre anti-phishing d’internet Explorer 7. Nous avons cependant soumis l’URL à Microsoft via la fonction dédiée, et pourrons à notre tour juger du dynamisme de la défense.
Avant quelques excuses protocolaires sur la situation, un lien profond est placé vers une section du site Ljk-sang.com. Notez le « i » devenu « j ».
La page de garde de ce site clone réoriente vers le vrai site Lik-Sang. Mais le lien profond dans le mail, pointe lui vers une fausse page Paypal. Un montant de remboursement (ici 9,99 dollars) attend le destinataire qui n’aura plus qu’à indiquer son code secret Paypal pour être recréditer. Le champ login est préinscrit avec son adresse mail officielle.
Il est à peine nécessaire de préciser que ces données sont fausses. Dans tous les cas, le mot de passe saisi sera illico envoyé dans les mains de l’émetteur, qui n’aura plus qu’à s’en servir pour des achats sur le net ou virer des fonds.
L’attaque montre une nouvelle fois la forte réactivité des personnes malveillantes sur ce type d’évènement. L’attaque est toute fraîche : elle n’a même pas été repérée par le filtre anti-phishing d’internet Explorer 7. Nous avons cependant soumis l’URL à Microsoft via la fonction dédiée, et pourrons à notre tour juger du dynamisme de la défense.
Marc Rees
le 30 octobre 2006 à 17:36
(22 419
lectures)
Actualités et brèves relatives
- 25 / 10 / 2006 : Game Over pour Lik-Sang.com
- 25 / 10 / 2006 : Firefox 2.0 est enfin disponible en version finale
- 24 / 10 / 2006 : Microsoft intègre son outil anti spoofing Sender ID dans l'OSP
- 23 / 10 / 2006 : L’usurpation d’identité sur lnternet n’aura pas sa loi
- 19 / 10 / 2006 : Internet Explorer 7, c'est pour aujourd'hui !
- 03 / 10 / 2006 : Une étude sur les performances des outils anti-phishing
- 05 / 09 / 2006 : BrowserShield : pour bloquer le contenu de sites malveillants
- 17 / 07 / 2006 : Le FMI à son tour victime d'une arnaque par mails
