DMARC : Un nouveau standard pour lutter contre le phishing

Posted on by
1

DMARC graphique logo

DMARC (Domain-based Message Authentication, Reporting and Conformance) est né de la collaboration de nombreux acteurs majeurs d’internet. Son but de de définir un nouveau standard pour lutter contre les mails de phishing.

Qui est derriere DMARC ?

Le consortium qui travaille depuis 18 mois sur cette nouvelle spécification est initialement  constitué des acteurs suivant :

  • Agari
  • American Greetings
  • AOL
  • Bank of America
  • Cloudmark
  • Comcast
  • Facebook
  • Fidelity Investments
  • Google
  • LinkedIn
  • Microsoft
  • PayPal
  • Return Path
  • The Trusted Domain Project
  • Yahoo!

En quoi consiste DMARC ?

DMARC est avant tout une spécification, permettant aux expéditeurs et aux destinataires de mail d’échanger des informations. L’authentification de l’expéditeur se base sur deux techniques déjà éprouvées : SPF (Sender Policy Framework) et DKIM (DomainKeys Identified Mail).

Concernant l’expéditeur :

  • Il va signaler que son domaine utilise les systèmes d’authentification SPF et DKIM.
  • Il va spécifier une adresse e-mail de feedback qui va permettre de lui signifier des problèmes concernant les mails liés à son domaine (légitimes ou pas).
  • Il va définir la politique à appliquer si un mail reçu de son domaine échoue aux tests d’authentification SPF et/ou DKIM.
    Il y à trois actions possibles:

    1. Report : L’expediteur est prévenu du problème via son adresse de feedback.
    2. Quarantaine : Le mail est mis en quarantaine.
    3. Rejet : Le mail est rejeté.

Concernant le destinataire :

  • De part la déclaration faite par l’expéditeur, il va savoir de façon certaine si le domaine utilise des processus d’authentification  SPF et DKIM.
  • Il va pouvoir tester les mails reçu pour contrôler que les enregistrements et signatures SPF et DKIM sont valides.
  • Il va savoir quoi faire du mail (report, quarantaine ou rejet) si les tests SFP et DKIM échouent.
  • Il va savoir comment fournir un feedback à l’expéditeur en cas de problème avec des mails de son domaine.

DMARC annonce t’il la fin du phishing ?

Dans ce domaine comme ailleurs il n’y a pas de balle en argent.
Cette méthodologie ne va pas éliminer le phishing car un mail de phishing peut parfaitement répondre aux spécification de DMARC. Par exemple l’attaquant peut trés bien utiliser un nom de domaine qui va ressembler au domaine à attaquer (ma-banque.com pour mabanque.com par exemple) et le configurer pour qu’il suive les recommandations DMARC.

Ce n’est pas pour autant un coup d’épée dans l’eau, DMARC est un outils supplementaire qui va fournir des informations utiles pour la classification des e-mails, mais à lui seul il ne sera pas suffisant pour éradiquer le phishing.

 

Le botnet Kelihos reprend du service

Posted on by
1

Le botnet kelihos

Désactivé par les efforts conjoints de Microsoft et de Kaspersky en septembre dernier le botnet Kelihos, tel le Phoenix, semble renaître de ses cendres.

Le botnet Kelihos à infecté prés de 45 000 ordinateurs à travers le monde, à sa grande époque il envoyait jusqu’à 4 milliards de spams par jour.

En septembre 2011, les chercheurs en sécurité de Microsoft et de Kaspersky ont réussi a prendre la main sur le botnet  en détournant les requêtes de controle du botnet vers une machine qu’ils contrôlaient. Hélas il semblerait que les forces obscures ont réussi à contourner les contres mesures et ont repris le controle des machines composant le botnet.

De plus il semblerait qu’une nouvelle version de Kelihos à vu le jour, sa principale modification est de chiffrer les communications entres les différents noeuds du réseau pour rendre plus difficile le travail des chercheurs en sécurité.

Cette nouvelle aventure du botnet Kelihos fait suite à l’annonce de Microsoft qui il y a quelques jour à annoncé avoir “découvert l’auteur du botnet Kelihos“. Visiblement il n’était pas le seul à avoir les clés du réseau…

 

[phishing] Verifier le controle en ligne de votre carte bancaire ?

Posted on by
1

Nouvelle campagne de phishing visant les possesseurs de carte Visa.

snapshot phishing visa

Mail de phishing visa

On notera que ce mail fait appel à une technique de social engineering qui consiste a créer une notion d’urgence : 24 h pour mettre son compte à jour sinon la carte bancaire sera suspendue. Le but est de presser la victime potentielle pour qu’elle clique sur le lien en se posant un minimum de question.

Si la victime clique sur le lien elle va être redirigé vers un site Visa contrefait lui demandant de saisir le numéro de sa carte bancaire, sa date de validité et le cryptogramme visuel. Autrement dit toutes les informations permettant d’utiliser la carte bancaire sur un site d’e-commerce.

Voici une capture d’écran du site contrefait permettant de recueillir ces informations :

Capture site visa contrefait

Site visa contrefait

 

Le texte complet de ce phishing :

Vérification controle en ligne de Votre Carte Bancaire

Bonjour cher client/cliente ,

Votre carte bancaire est suspendue, car nous avons remarqué un problème sur votre carte.

Nous avons déterminé que quelqu’un a peut-être utiliser votre carte sans votre autorisation. Pour votre protection, nous avons suspendue votre carte de crédit. Pour lever cette suspension, Cliquez iciet suivez la procédure indiquer pour la mis a jour de votre carte crédit.

Note: Si vous n’achevez pas cette procédure avant le 02 fĂ�©vrier 2012 nous serons contraints de suspendre votre carte définitivement, car elle peut-être utiliser d’une façon frauduleuses

Nous vous remercions de votre coopération dans le cadre de ce dossier.

Merci,
Support Clients Service.

Créer une campagne de phishing en 3 clics

Posted on by
2
Capture d'ecran du site http://www.sptoolkit.com/

Sptoolkit

Un nouvel outil, mis à disposition publiquement, permet de mettre en place très simplement des campagnes de phishing.

Le but originel de cet outil n’est bien entendu pas de permettre au premier filou venu de créer ses propres campagnes de phishing, l’idée derriere ce projet est de mettre à disposition des administrateurs et autres responsables de la sécurité, un moyen pour tester et donc sensibiliser les utilisateurs des services qu’ils administrent.

Simple Phishing Toolkit est un script PHP qui ne nécessite qu’un environnement lamp pour s’executer. Comme le montre cette vidéo sa mise en oeuvre est des plus simple :

Pour résumer ce “gestionnaire de campagne de phishing” fonctionne de la façon suivante :

  1. Vous allez definir un site à contrefaire, le script va alors l’aspirer et créer une copie locale.
  2. Vous allez ensuite définir votre liste de cibles, autrement dit les utilisateurs à tester.
  3. A ce stade il ne vous reste plus qu’a lancer la campagne et attendre que le soft collecte les informations et vous délivre son rapport.

Même si les intentions originelles de ce projet sont légitimes, proposer un outil qui permet de créer aussi simplement des campagnes de phishing est dérangeant, la démarche interroge.

Cependant, ne nous faisons pas d’illusions, les “forces obscures” disposent déjà de ce genre d’outil, donc ce n’est pas leur faciliter le travail que de diffuser publiquement celui-ci. Le seul “gros” risque c’est de déclencher des vocations chez des personnes qui n’ont initialement pas les compétences pour se débrouiller seules. Je ne pense pas que cette dernière catégorie soit trés dangereuse, ils risquent même de se faire plus de tord à eux mêmes qu’a leurs potentielles victimes.

Et vous qu’en pensez vous ?

Quels sont les domaines les plus utilisés dans les spams ?

Posted on by
1
Domaines les plus utilisés dans les spams

Spam : principaux domaines

AVG à sorti un classement des noms de domaine les plus utilisés dans les spams.

On aurait pu s’attendre à voir en tête de liste les domaines liés aux webmails les plus populaires, mais ce n’est pas le cas. Les domaines qui trustent les deux premieres places du classement sont facebook.com avec 7,3% suivi de twitter.com avec 4,2%.

En fait ce n’est pas si surprenant que ça  puisque ces deux domaines correspondent aux deux réseaux sociaux les plus utilisés. On ne peut pas estimer l’impact de Google+ car le service n’a pas de nom de domaine propre.

Un service de Webmail arrive en troisième position, gmail.com avec 3.1% de présence dans les spams.
yahoo.com et  hotmail.com, sont présent à le 5 et 6 ieme place avec 2.4 % chacun.

On notera la présence de chtah.com en 7ieme position avec 1,7% de présence dans les message non sollicités. Ce domaine appartient à CheetahMail, un service spécialisé dans “l’e-mail marketing”.  Vous avez du remarquez  depuis quelques mois maintenant que le volume de mails issus de campagnes de marketing direct à explosé. La perception de ce type de mails est trés variable, mais pour beaucoup d’usagers ils sont considérés comme des spams. Si vous souhaitez filtrer ces mails, notre service de protection de messagerie propose une option permettant de classifier les mails issus de campagne de marketing direct.

 

Le créateur du botnet Kelihos démasqué

Posted on by
Reply

Kelihos botnet auteur

Quatre mois après avoir démantelé le botnet Kelihos Microsoft annonce avoir identifié son auteur.

Le botnet Kelihos, utilisé pour envoyer des spams et voler des données personelles, aurait été codé par Andrey N. Sabelnikov, un Russe résidant à Saint-Pétersbourg.

Sabelnikov, travaille officiellement comme freelance en tant que développeur et consultant, il à précédemment travaillé en tant qu’ingénieur pour une “compagnie qui développe des antivirus“.

Nouveau mode de facturation en place

Posted on by
Reply

Comme nous vous l’avions annoncé sur ce billet, nous venons de mettre en place un nouveau mode de facturation pour nos offres de protection de messagerie.

Jusqu’alors si vous dépassiez votre quota mensuel vous deviez mettre à jour votre abonnement en achetant des packs par palier de  50 000 mails.

Ce n’était pas optimal car :

  •  Vous deviez augmenter votre quota sur toute la durée de votre abonnement même si vous aviez un dépassement temporaire.
  • Si vous consommiez moins que ce qui était inclus dans votre abonnement il n’y avait aucune forme de report d’un mois sur l’autre. Votre “crédit” était perdu.

Notre nouveau mode de facturation va corriger ces problèmes, voici comment il fonctionne :

  • Les abonnements comprennent toujours un quota mensuel de mails pouvant être filtrés.
  • Chaque abonnement va disposer d’un “reservoir” permettant de stocker des “Jetons de filtrage“.
  • Si votre quota mensuel est épuisé nous allons prélever, pour chaque nouveau mail filtré, un Jeton de filtrage dans votre réservoir.

Prenons un exemple, supposons que :

  • Vous souscrivez à un abonnement Agency Gateway incluant un quota de 150 000 mails mensuels.
  • Vos besoins en filtrage s’élèvent, en moyenne, à 200 000 mails par mois.
  • Vous souhaitez vous abonner pour 6 mois.
En moyenne, tous les mois vous allez avoir besoin de filtrer 50 000 mails au dela de votre quota. Il vous suffit donc, lors de votre renouvellement, de commander 300 000 (50 000 * 6 )  jetons de filtrage pour couvrir vos besoins.

Si vous ne consommez pas tout vos jetons, vous pourrez les utiliser ultérieurement. Si au contraire votre consommation augmente et que ces 300 000 jetons se révèlent être insuffisant il suffira d’en commander d’autres.

Vous pouvez ajouter des Jetons de filtrage dans votre réservoir à tout moment. Ils n’ont pas de limite de validité dans le temps (à condition que votre abonnement soit valide).

Ce nouveau mode de facturation ne s’applique qu’aux nouveaux abonnements. Si vous êtes déjà abonné et que vous souhaitez l’utilisez, contacter notre support.

J’allais oublier : Si votre consommation mensuelle est inférieure au quota inclus dans votre abonnement, à la fin du mois nous vous offrirons le résidu sous forme de Jetons de filtrage gratuits ;)

Découvrez nos nouvelles offres de protection de messagerie sur notre site.

Phishing : Google Docs de plus en plus utilisé

Posted on by
1

Logo google doc

Une campagne de phishing, diffusée depuis ce week-end, à la particularité  d’utiliser le service Google Docs pour héberger le formulaire permettant de recueillir les informations personnelles des victimes.

La campagne vise les clients de la banque Australienne ANZ , le mail d’hameçonnage présente un message classique demandant aux cibles de vérifier leurs informations personnelles :

Capture d'un phishing utilisant Google docs

Phishing AZN utilisant Google Docs

ANZ Bank has a strict policy to ensure that all our customer online banking details are secure and updated regularly. This is done for your own protection because some of our clients no longer have access to their online banking service due to fraudulent activities suspected by the bank management.

In order to make sure that your online banking experience is even more safe and secure, we have introduced a new security feature that allow us to detect any unusual activity on your account. So with regards to this development, to update, re-activate and verify your online banking account login details CLICKHERE

Jusque la rien rien de spécial, mais si on clique sur le lien “CLICKHERE” on est dirigé vers un formulaire qui est hébergé sur la plateforme Google Docs :

Capture du formulaire de phishing hébergé sur Google Docs

Formulaire Phishing sur hébergé sur Google Docs

Utiliser le service Google Docs pour héberger le formulaire de phishing présente plusieurs avantages pour les instigateurs de la campagne :

  • Le service et son hébergement est fourni gratuitement.
  • Il est trés simple de mettre en place un formulaire de ce type.
  • Google docs permet de générer les e-mails invitant les victimes à renseigner le formulaire.
  • Le données récoltées sont mises en forme dans un format facilement exploitable.
  • L’URL vers le formulaire utilise le domaine google.com. La victime se sent en confiance.
  • De même l’URL se présente sous la forme d’un lien HTTPS qui va présenter un certificat valide.

Si vous recevez ce genre de mails, vous pouvez (devez) le faire remonter a Google en cliquant sur lien “report abuse”.  Cela dit si vous recevez ce type de mail, il serait peut être bon d’utiliser un service de filtrage de messagerie non ? ;)

 

Le phishing recursif

Posted on by
Reply

Une campagne de phishing récente se présente comme une alerte concernant un phishing :

From: soc@us-cert.gov
Subject: Phishing incident report call number: PH0000009325479

US-CERT is forwarding the following Phishing email that we received to the APWG for further investigation and processing.

Please check attached report for the details and email source

US-CERT has opened a ticket and assigned incident number PH0000005007349. As your investigation progresses updates may be sent at your discretion to soc@us-cert.gov and should reference PH0000002359885.

Thank you,

US-CERT Operations Center
888-282-0870
soc@us-cert.gov

http://www.us-cert.gov

Nos “amis” du coté obscure de la force ne sont décidément pas a cours d’imagination ;)

[phishing] Hotmail : Don’t send us the wrong password or we’ll suspend your account!

Posted on by
1

Si vous recevez un message en anglais vous annonçant que les serveurs mail d’Hotmail sont engorgés et que pour les soulager les comptes e-mails non utilisés seront désactivés, vous êtes certainement victime d’un nouvelle campagne de phishing.

Voici le texte, en VO, de ce phishing Hotmail:

We are upgrading our database to serve you better. Due to the congestion in our E-mail servers there would be removal of all unused Hotmail Account. You will have to confirm if your E-mail account is still active by filling out your information below after clicking the reply button

Sous ce message on trouve un espace ou la victime peut insérer :

  • Sont identifiant Hotmail
  • Le mot de passe Hotmail associé
  • Sa date de naissance
  • Son pays

On notera le texte suivant vous alertant sur l’importance de bien vérifier les informations renseignées avant d’envoyer la réponse :

Ensure every detail requested above is provided correctly upon receipt of this notification to enable the upgrade. Incomplete details and wrong passwords forwarded will result in suspension or closure of your account for security reasons.

Une petite touche d’humour termine ce mail de phishing, puisque l’on peut lire  :

YOUR DETAILS WILL NOT BE SHARED

Voici une capture d’écran du phishing Hotmail :

capture d'écran représentant un phishing Hotmail

Phishing Hotmail

Si vous recevez ce phishing nous vous conseillons d’utiliser un service de protection de messagerie.