Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Comprendre un Phishing

LienRag

Mon père a récemment commis l'erreur d'utiliser un ordinateur sous Windows et de s'y connecter à son compte Orange, en entrant donc son identifiant et mot de passe dans la fenêtre de la page web orange.fr

Peu après la plupart des gens sur son carnet d'adresse ou étant en contact par mail avec lui ont reçu un mail de phishing classique ("peux-tu m'aider, j'ai un problème").
Il s'en est rendu compte le lendemain et a changé son mot de passe (depuis un PC sous Lubuntu, donc a priori sûr - par contre depuis le même réseau wifi, j'espère que ce n'est pas un problème).

Vu la chronologie, il me semble que l'on n'est pas dans un cas de spoofing de l'adresse de mon père après récupération d'une liste d'adresse mail, mais bien dans un vrai piratage de sa boîte.
D'ailleurs le reply-to du message envoyé pointe bien vers la vraie adresse de mon père, et quand sous Thunderbird je tente de répondre au message de fishing Thunderbird me donne bien la bonne adresse dans le champ "Pour" (si je comprends bien, à partir de là je peux être certain qu'à part attaque MITM, le message que j'envoie arrivera bien à la bonne adresse?).
Le début du header du message de fishing est là:

Mais dans ce cas, pourquoi mon père a pu changer son mot de passe? Pourquoi le pirate ne l'a pas changé lui-même auparavant?
Et comment le pirate peut-il échanger avec les phishés qui répondent sans que les messages n'apparaissent dans la boîte mail de mon père?

nam1962

A priori, si il a changé son mdp, sa boite n'est plus utilisée par le tiers (par contre le tiers continue d'utiliser son adresse)

Brunod

Attention entre l'affichage de la boite de l'émetteur et la boite qui réceptionne vraiment les réponses : elles peuvent être différentes !

LienRag

Brunod a écritAttention entre l'affichage de la boite de l'émetteur et la boite qui réceptionne vraiment les réponses : elles peuvent être différentes !

L'affichage où?
Dans le message reçu ou dans la fenêtre d'envoi de Thunderbird?
Et comment on trouve la vraie adresse alors?

nam1962: Comment il utilise son adresse si le mdp a changé? En la spoofant ou autre méthode?

nam1962

Regarde le code source du message dans thunderbird.

Pour le "de" je crois me souvenir que dans TB on peut changer dans option de compte, dans la partie "adresse électronique", mettre adresse@domaine.com, adressevolée@domaine volé.com (séparé par une virgule) ou une manip du genre. (dans le code source tu vois la vraie adresse de réponse)

LienRag

Comme indiqué dans le message initial, j'ai vérifié que l'adresse de réponse est la bonne.
Ma question est d'être sûr que l'adresse indiquée dans le champ "pour" de la fenêtre d'envoi Thunderbird sera (sauf MITM bien sûr) celle qui recevra le mail que moi j'envoie.

Underneath

Ca peut être un cas où le but des pirates est juste d'avoir une liste de cibles. Le plus souvent, les cybercriminels font du piratage de masse, plus facile et plus rentable. Généralement, un tech saavy est particulièrement imunisé contre ce genre de piratage.

Donc, il est probable ques les pirates aient récupéré la liste de contact et basta, ça leur suffit pour faire du fishing puisqu'ils ont suffisament d'éléments pour faire du SE en même temps (il y a plus de chance que 2 personnes du carnet d'adresse se connaissent que 2 personnes prises au hasard sur internet).

Du phishing de masse peut alors se faire avec plus de chance de réussir que du phishing au hasard. Il ne faut pas oublier que ces pirates bossent, c'est leur boulot, ils essaient d'être le plus rentable possible à l'heure. On n'est pas sur du hacking ciblé ici, en tout cas, je ne pense pas vu les éléments fournis.

LienRag

Underneath a écritCa peut être un cas où le but des pirates est juste d'avoir une liste de cibles. Le plus souvent, les cybercriminels font du piratage de masse, plus facile et plus rentable. Généralement, un tech saavy est particulièrement imunisé contre ce genre de piratage.

Donc, il est probable ques les pirates aient récupéré la liste de contact et basta, ça leur suffit pour faire du fishing puisqu'ils ont suffisament d'éléments pour faire du SE en même temps (il y a plus de chance que 2 personnes du carnet d'adresse se connaissent que 2 personnes prises au hasard sur internet).

Du phishing de masse peut alors se faire avec plus de chance de réussir que du phishing au hasard. Il ne faut pas oublier que ces pirates bossent, c'est leur boulot, ils essaient d'être le plus rentable possible à l'heure. On n'est pas sur du hacking ciblé ici, en tout cas, je ne pense pas vu les éléments fournis.

J'ai effectivement d'abord pensé à du spoofing plutôt qu'à un piratage réel de la boîte, mais comme indiqué dans le message initial l'adresse de réponse (tant dans le mail lui-même que dans le header vu par ctrl+U dans Thunderbird que dans le champ "pour" de la fenêtre d'envoi de Thunderbird) est bien celle de mon père, donc je ne comprends pas comment l'attaquant pourrait recevoir les réponses au message de phishing pour pouvoir lui-même y répondre s'il n'a pas le mot de passe de la boîte de mon père?

nam1962

Il l'a eu, il ne l'a plus.
Par contre il ne faut pas exclure un proche plutôt qu'un vilain hacker.

LienRag

nam1962 a écritIl l'a eu, il ne l'a plus.
Par contre il ne faut pas exclure un proche plutôt qu'un vilain hacker.

Ok, et l'attaquant a moyen de continuer à accéder à la boîte mail maintenant que le mot de passe a changé?
Je veux dire, s'il a un pc zombie quelque part qui a gardé une session mail ouverte, elle peut continuer à récupérer les mails / leur répondre?

MichelZ

Une fois changé le mot de passe, j'espère qu'Orange coupe les connexions éventuelles en cours, sinon y a du souci à se faire !
Par contre le pirate a pu télécharger tous les contacts et tous les messages envoyés ou reçus. Donc s'il y a des infos confidentielles (n° de comptes bancaires, etc.) le pouvoir de malfaisance du pirate n'est hélas pas terminé...
D'autre part, de mon point de vue, dans le cas présent la "faille" n'est pas Windows ni l'ordinateur ni le réseau, mais ton père qui a choisi un mot de passe trop simple. Pour ma part j'utilise toujours des mots de passe à 12 caractères au moins, avec chiffres, caractères spéciaux, etc.

nam1962

LienRag a écrit(...)

Ok, et l'attaquant a moyen de continuer à accéder à la boîte mail maintenant que le mot de passe a changé?
Je veux dire, s'il a un pc zombie quelque part qui a gardé une session mail ouverte, elle peut continuer à récupérer les mails / leur répondre?

Si tu récupères un mail litigieux, vérifie dans la boite d'envoi de ton père si il existe : si le mdp est changé, il n'existera pas)
Compare aussi le code source des headers d'un mail légitme et d'un mail "pirate".

..Je continue à penser à un proche plutôt qu'à un hacking externe...

bruno

Il faudrait voir la source complète du message, mais les en-têtes, aussi bien le From que le Reply-to, peuvent être très facilement falsifiés.
Vu ta description je pense que la machine sous Windows est simplement vérolée et contient au moins un logiciel malveillant qui récupère les adresses du carnet d'adresses pour envoyer du spam/phishing.

Underneath

MichelZ a écritD'autre part, de mon point de vue, dans le cas présent la "faille" n'est pas Windows ni l'ordinateur ni le réseau, mais ton père qui a choisi un mot de passe trop simple.

Je ne m'avancerais pas sur ce point. Les cybercriminels bossent avec des 0-days aussi. Sur Linux, on est quand même assez immunisé de part notre base d'utilisateurs beaucoup plus restreintes et du niveau de sécurité plus élevé du système et des utilisateurs, en moyenne. Mais rien n'empêche un système windows à jour avec AV de se prendre un malware (surtout avec tous un tas de plugins dans le navigateur).

Les entêtes peuvent effectivement être bidonnées, donc pas évident de conclure non plus. Qui plus-est, avec la mode des botnets, un ordinateur compromis peut avoir plusieurs fonctions, y compris de participer à des attaques DDOS ou à du phishing de masse, avec des algorythmes complexe pour puiser dans des bdd d'emails piratées pour rendre les attaques plus efficaces.

Malheureusement, avec Windows, quand on a un doute qu'il puisse avoir été compromis, je ne connais qu'une seule méthode de réparer les soucis.

Pour lecture : https://korben.info/interview-black-hat.html

LeoMajor

utiliser un ordinateur sous Windows et de s'y connecter à son compte Orange

Et quel est le malheureux propriétaire de cet ordinateur ?
Désactive & supprime les extensions de ton navigateur. C'est tellement fréquent de voir des extensions pourries et vérolées, que je serais pas surpris que cela vienne de là.
Interdit le java-script pat défaut et ajoute un anti-java script...
Vide le cache du navigateur ...

Received: from HE1P195CA0024.EURP195.PROD.OUTLOOK.COM (10.171.121.34) by
DB6P195MB0101.EURP195.PROD.OUTLOOK.COM (10.171.119.19) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id
15.1.947.12 via Mailbox Transport; Thu, 16 Mar 2017 11:42:51 +0000
Received: from inbound.mail.protection.outlook.com (213.199.180.145) by
HE1P195CA0024.outlook.office365.com (10.171.121.34) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id
15.1.977.11 via Frontend Transport; Thu, 16 Mar 2017 11:42:50 +0000
Received: from AM5EUR02FT030.eop-EUR02.prod.protection.outlook.com
(10.152.8.60) by AM5EUR02HT084.eop-EUR02.prod.protection.outlook.com
(10.152.9.37) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384) id 15.1.961.10; Thu, 16
Mar 2017 11:42:50 +0000

C'est incomplet et rien n'anormal .
Il manque le return path, qui correspond au mail from, véritable expéditeur.
regarder si le header.from est aligné au mail.from.