Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Phishing orange : infection via une fausse facture

Phishing orange : infection via une fausse facture
2011-10-262013-04-10sécurité organisationnelle et humainefr
Petite campagne de phishing ciblant les clients Orange : Cette fois-ci ce sont les factures du mois de Novembre 2011 qui servent de prétexte pour infecter les machines des internautes. Passage en...
Publié le 26 Octobre 2011 par Jean-François Audenard dans sécurité organisationnelle et humaine

Une nouvelle attaque de phishing ciblant les clients Orange : rien de nouveau sous le soleil d'automne me direz-vous ! Encore une ! Et oui.... mais celle-ci est super bien faite et d'une qualité quasiment sans faille...

De façon assez classique, tout commence par un mail. Aucune faute d'orthographe ou de caractères "bizarroïdes", la mise en page est irréprochable : normal, c'est du copier-coller...

screenshot du mail de phishing:

phishing orange

screenshot d'un mail légitime :

phishing orange

bases de réputation d'URLs et antivirus : sortez, y'à rien à voir !

Si on clique sur l'un des liens contenus dans le mail de phishing, au lieu d'être redirigé vers le site orange, le téléchargement d'un fichier "Facture.exe" se lance. Le passage de ce fichier via le site virustotal.com montre qu'il est inconnu des antivirus.

- L'URL est inconnue (0/16) des bases de réputation (test virustotal.com)

phishing orange

- Une analyse du fichier via virustotal.com montre que les antivirus ne détectent rien (0/43). (test virustotal.com)

phishing orange

Donc les moyens techniques standard de prévention et de détection sont impuissants.

c'est simple mais très bien plannifié

Outre une mise en oeuvre relativement simple (ré-utilisation du contenu d'un mail original, plateforme de partage de fichiers pour diffuser le malware), cette attaque joue avec le facteur "timing".

En effet, les mails de notification de facture sont normalement envoyés vers le milieu du mois en cours. Il y a environ 15 jours entre le mail du mois d'octobre et celui de phishing. Les attaquants ont donc à leur disposition une fenêtre d'environ 15 jours avant l'envoi du mail officiel de la part d'orange...

Pour ceux qui ont lancé le fichier exécutable "Facture.exe", leur machine pourra être restée dans les mains d'une tierce partie pendant près de 2 semaines... Le temps de collecter des informations personnelles, d'envoyer du spam ou de lancer des attaques en DDoS.... Bref, toutes les missions que l'on peut confier à une machine zombie.

la méfiance comme seule protection : 3 indices

Les 3 indices qui doivent mettre la puce à l'oreille ?

  1. La facture de novembre 2011 qui arrive alors que nous ne sommes qu'en octobre : étrange !
  2. Une URL qui pointe sur autre chose que "r.mailforge.orange.fr" : suspect !
  3. Un fichier exécutable (ici "Facture.exe")  : alerte !

Après, je vous le concède, il faut faire attention et être assez suspicieux : cliquer sur l'un des liens est vite fait... Il ne reste plus qu'un clic pour lancer l'exécutable et c'est fini... Un antivirus à jour ne pourra pas rattraper le coup.

vers qui envoyer ces messages douteux ?

Vous avez reçu ce genre de message ? Des doutes ou des questions ? Parlez-en à un expert si vous en avez un sous la main. Dans tous les cas, faites attention.

Vous pouvez remonter ce genre de messages vers la cellule Abuse d'Orange Internet : abuse@orange.fr . Pour plus d'infos, je vous encourage à jeter un oeil sur cette page du site de l'assistance Orange : vous y trouverez toutes les infos utiles.

d'ou vient le mail ? comment a-t-il été envoyé ?

Comme j'ai été en mesure de récupérer les entêtes SMTP du mail d'origine, j'ai pu creuser un peu plus que d'habitude..... Mais ça sera pour un prochain bulletin ! :-)

PS: mes remerciements à Jean-Guy C. pour la remonté d'info !

5 Commentaires

  • 4 Février 2012
    2012-02-04
    par
    Bonjour.
    Il n'est jamais trop tard pour commencer dans la sécurité. :-)
    Dans ce cas précis, je n'ai pas été en mesure de voir une tentative d'infection arriver lors de mes tests. Cela ne veut pas dire que dans votre cas rien ne se soit passé.
    Mes recommandations : Faites une mise à jour de votre antivirus ; lancer une vérification complète devrait permettre de vous rassurer.
    En cas de doute : ré-installer votre système.... c'est brutal et prendra du temps mais au moins vous aurez l'assurance que celui-ci est bien exempt de virus ou logiciels espions. Cerise sur le gateau votre ordinateur sera soudainement plus rapide.
    Bon week-end,
    Jeff.
  • 26 Janvier 2012
    2012-02-04
    par
    Marie-Hélène
    Bonjour,

    Je découvre ce blog (trop tard, hélas !). J'ai reçu moi-même ce jour un mail pour consulter une facture ORANGE...et évidemment, c'est du phishing car cela ne mène nulle part (page web introuvable). Est-ce que mon ordi risque vraiment quelque chose ? Je n'ai pas entré de données personnelles bien sûr mais quand un courrier vous dit de consulter une facture, il n'est pas illogique d'avoir l'idée de cliquer... Sur les dialogues précédents, il ne semble pas y avoir de "solution" pour vérifier a posteriori si on court un risque et le bloquer. Y a-t-il du nouveau, un programme qui ferai le nettoyage ????

    merci
  • 21 Novembre 2011
    2012-02-04
    par
    Bonne question.... Il semble qu'il y ait effectivement qqchose qui coince. Je viens de faire suivre votre message d'erreur à mon contact du coté de la cellule Abuse d'Orange.
    Encore merci pour cette remontée d'info & bonne semaine. JF
  • 20 Novembre 2011
    2012-02-04
    par
    Venant de recevoir un mail de phishing aux couleurs d'Orange, j'ai essayé de le transférer à abuse@orange.fr et :

    : Command time limit exceeded:
    "/usr/bin/procmail -t -a ". Command output: procmail: Missing
    argument /bin/bash: mailbackup/minute/abuse-20-11-2011-18-24: No such file
    or directory procmail: Error while writing to "formail>>"
  • 28 Octobre 2011
    2012-02-04
    par
    L.B
    Bon article sur la nouvelle génération de fishing , autant sur la qualité du média que sur la qualité du malware
    il est normal que les antivirus ne détecte pas le virus. Généralement le code source du malware est réencrypté (si deja connu et detecté par un antivirus) pour modifier son "empreinte numérique"; lorsque cette empreinte est comparée à la base de données, aucune correspondance n'est trouvée. Syntaxiquement , ce n'est pas le meme programme, mais ils ont les memes actions sur la machine hôte en fin de comptes.
    Il faut connaitre les limites d'un antivirus : un antivirus fonctionne toujours avec un train de retard, c'est le temps que le référencement ce fasse. De meme il faut oublier les légendes comme quoi tel antivirus est meilleur que les autres (la taille des bases de detections varie de moins de 5% ) . Il sont aussi mal-lotis les uns que les autres. 
    Le bon reflexe à avoir est d'envoyer une copie (surement possible à partir de virustotal ou alors a partir du site officiel) au gros laboratoires antivirus qu'ils ajoutent l'empreinte du  fichier incriminé dans leurs bases de données le plus vite possible. D'où aussi l'utilité de mettre son antivirus à jour tres régulirement.
    Dans un second temps les actions du malware sur la machine seront étudiés de maniere à ressortir un comportement global du programme : c'est la méthode de détection heuristique. Cela permet de savoir si le programme n'est pas qu'une version recrypté // recompilé d'un malware déja identifié.
    A noté qu'un antivirus peut detecter un malware sans l'avoir dans sa base d'empreintes, grâce à la base de detection heuristique.
    Effectivement dans le doute ne cliquez jamais sur un fichier executable, mefiez vous des fichiers "autorun" (lancement automatiques des clefs USB...), et de tout format pouvant embarquer du Javascript ou du flash (web, pdf.. pensez à désactiver Javascript dans les options quand vous avez un doute sur la source, le javascript s'execute coté client).
    Si vous ne pouvez pas verifier, attendez ,si c'est un fichier malicieux diffusé à large échelle, là il sera catalogué en quelques jours.  Si vous ne pouvez pas attendre, une machine virtuelle "jetable" est une protection supplementaire pour votre machine hote
    Enjoy ;)
    signé un collègue de la Sécurité & MOA des SI 

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage