Chouette, encore un fishing!

Lors d’un précédent article, j’analysais un email de fishing. Ce dimanche, j’ai reçu une nouvelle tentative de fishing, par SMS cette fois. C’est parti pour une petite analyse!

SMS reçu hier, me proposant un remboursement de 89.74€!

Je ne maîtrise malheureusement pas suffisamment le néerlandais pour savoir si la forme du message est plus ou moins crédible. Néanmoins, une proposition de remboursement de 89,74€ est alléchante…

Une recherche sur le numéro de téléphone (0499 xx xx xx) ne donne pas beaucoup de résultats, mais ceux-ci invitent déjà à la méfiance. Certains sites répertorient les numéros de téléphone suspects, et rassemblent les commentaires des utilisateurs. Cependant c’est à double tranchant: certains pirates n’hésitent pas à faire appel à inonder ces sites de faux commentaires positifs attestant du fait que le numéro est parfaitement valide et sans aucune intention frauduleuse 😉

Comme dans l’article précédent, procédons par ordre:

  • analyse du nom de domaine
  • analyse du site web et de sources

Nom de domaine

le nom de domaine dans notre cas est financiel-belgie.digital

Il ne ressemble pas à un nom de domaine que l’on pourrait attendre d’un organisme fédéral belge (domaine belgium.be)

J’en profitee pour donner une rapide explication sur les noms de domaine. Si vous regardez les deux noms de domaine suivant, lequel vous parait légitime?

  • finances.belgium.be
  • belgium.finance.be

Un nom de domaine se lit de droite à gauche, du plus général au plus spécifique. Le site légitime est le premier: dans le domaine BE, sous-domaine BELGIUM, sous-domaine FINANCE.

Les pirates tirent parti de la méconnaissance de la structure des noms de domaine: il est impossible pour quelqu’un qui ne possède pas le nom de domaine belgium.be de créer et gérer un sous-domaine finances.belgium.be. Le domaine finance.belgium.be appartient donc sans conteste à belgium.be.

Par contre n’importe qui peut acheter le domaine finances.be et y créer le sous-domaine belgium.finances.be!

l’analyse du nom de domaine via whois et l’analyse du certificat HTTPS ne nous apprennent pas grand chose, mis à part que le nom de domaine semble avoir été enregistré en Islande et que le site semble hébergé en Allemagne.

Analyse du site

encore une fois, la sécurité d’abord 😉 J’utilise donc une machine virtuelle pour me connecter au site. cette fois bonne surprise, le site existe toujours!

un accueil plus ou moins rassurant

Me voici donc sur le site. Tout est fait pour me rassurer, les liens « conditions générales » (Algemene voorwarden) et le lien vlaanderen.be pointent réellement sur le site vlaanderen.be

J’accepte donc les conditions, rassuré par le fait qu’ils prétendent eux-mêmes que la plateforme est très bien sécurisée (zeer goed beveiligd)

Une page qui a l’air officielle

Je tombe ensuite sur un page qui ressemble fort aux pages officielles que l’on peut trouver sur le site officiel https://financien.belgium.be/nl

La plupart des liens (langues, icône « home ») ne fonctionnent pas, mais les liens vers les institutions bancaires semblent fonctionner.

Un indice suspect: comment ce fait-il que le site connaisse déjà le montant à me rembourser? 😉

Lorsque je clique sur une des banques, un écran tout à fait crédible m’invite à entrer mes coordonnées bancaires.

Au prochain épisode, analyse de ce qui se passe quand je remplis mes coordonnées (fictives)…

Webinaire découverte gratuit vendredi 26/11/2021!

Vous avez envie de faire plus ample connaissance avec Geek(H)ac(k)ademy? Je vous invite à un webinaire en ligne gratuit le 26 novembre. Vous y découvrirez mon projet, ainsi qu’une démo live de « pentesting », et vous pourrez poser toutes vos questions! Attention les places sont limitées afin de garantir un certain niveau d’interactivité!

détails de l’événement: https://www.facebook.com/events/1455199084851807

Inscription obligatoire sur https://www.eventbrite.fr/e/206703394417

Envie de vous lancer? quelques bonnes adresses…

quelques bonnes adresses si vous voulez vous lancer dans le monde merveilleux des challenges et CTF… Tous ces sites sont entièrement gratuits, et sont soit francophones, soit (comme wechall) partiellement traduits en français.

WeChall

(c) Gizmore – wechall.net

Le site https://www.wechall.net s’est imposé comme une référence dans le monde du challenge. En plus de proposer une belle série de challenges, Gizmore et ses acolytes se sont donné comme mission de référencer une cinquantaine de sites de challenges, et de collecter les scores de chaque joueurs pour établir un classement mondial.

Le nombre de points attribué à chaque site dépend de la progression du joueur sur le site, du nombre de challenges, du score moyen etc. En gros, ce système donnera plus de points aux joueurs qui résolvent un très grand nombre de challenges sur un petit nombre de sites qu’aux joueurs qui commencent un tas de sites différents.

Attention: forums en anglais

Newbiecontest

(c) newbiecontest

Le site français https://www.newbiecontest.org/ est un bon endroit pour commencer les challenges. Vous y trouverez de challenges de difficulté croissante, dans les catégories suivantes:

  • Clientside: principalement Javascript, Flash, …
  • Crackme: reverse engeneering d’application (surtout windows)
  • Cryptographie: décoder des codes secrets
  • Forensic: analyse de traces et de fichiers
  • Hacking: hack (simulé) de sites web
  • Logique: juste faire fonctionner le cerveau… 😉
  • Programmation: généralement des épreuves à faire en un temps très limité (quelques secondes), donc il faudra programmer un script pour les résoudre
  • Stéganographie: retrouver le message caché dans des images,des fichiers audio,…
  • Wargame: épreuves de « privilege escalation » sur des machines distantes via ssh

Le site possède une belle communauté, assez active, mais il vaut mieux faire ses preuves en résolvant quelques épreuves avant de poser des questions sur le forum, comme son nom ne l’indique pas les membres ne sont pas toujours tendres avec les « newbies »

Enigme à thématique

(c) enigmes-a-thematiques.fr

Le site https://enigmes-a-thematiques.fr/ propose une énigme par jour depuis plus de 11 ans, soit 4610 énigmes à l’heure où j’écris cet article. Les catégories (devineattes, lettres, mathématique, …) sont assez éloignées des catégories habituelles des sites de challenge, mais on y trouve néanmoins les catégories G33K (programmation) et HACK1NG.

Et comme il y a énormément d’énigmes, ce site permet de gagner pas mal de points sur wechall.net 😉

Root-me

(c) root-me.org

Toujours dans les sites francophones, le site https://www.root-me.org offre des challenges beaucoup plus techniques, mais avec énormément de documentation qui permettent de compléter ses compétences et affronter les épreuves. Une excellente référence, mais probablement pas pour les débutants 😉

Petit jeu

Et maintenant, pour vous motiver un peu… Le premier qui m’envoie un message perso sur la plateforme WeChall, et qui a au moins 100 points sur wechall (pour que ce ne soit pas trop facile…) Remporte une séance de 30 minutes de coaching personnel pour le débloquer sur les challenges sur lesquels il bute !