Contre-pirater des escrocs aux faux SMS USPS

 (blog.smithsecurity.biz)
4 points par GN⁺ 2024-08-10 | 3 commentaires | Partager sur WhatsApp
  • Réception d’un SMS d’arnaque depuis un numéro aléatoire : « Votre colis USPS est arrivé, mais ne peut pas être livré en raison d’une erreur d’adresse. Cliquez sur le lien ci-dessous pour vérifier l’adresse… »
  • L’arnaque a été immédiatement évidente, mais d’autres personnes peuvent se faire avoir. Ma femme s’est elle aussi fait piéger il y a quelques mois
  • Après avoir partagé cela sur des canaux en ligne, quelqu’un (appelons-le S1n) a décidé de se venger des escrocs

Enquête initiale

  • Utilisation d’un scan nmap pour identifier davantage de domaines et de zones qu’ils utilisaient
  • Exploration du site en interceptant le trafic avec Burp Suite
  • Le site inclus dans le message semblait être un clone du véritable site USPS
  • La confirmation de la même IP a permis d’être certain qu’il s’agissait bien des escrocs

Communication via WebSocket

  • Une communication WebSocket envoyait des noms de fichiers et renvoyait leur contenu
  • Cela a conduit à une vulnérabilité de type inclusion de fichiers locaux (LFI)
  • Le LFI a permis d’obtenir davantage d’informations sur l’environnement

Analyse des fichiers PHP

  • Récupération de tous les fichiers PHP du site d’arnaque
  • Les fichiers étaient fortement obfusqués et contenaient des caractères chinois
  • Ils communiquaient via un canal Telegram et stockaient les données sur un serveur MySQL

Collecte d’informations supplémentaires

  • Identification de l’IP de configuration via les logs d’accès nginx
  • À partir des informations du certificat et de l’IP, hypothèse qu’il s’agissait d’escrocs chinois

Injection SQL

  • Déclenchement d’une erreur en utilisant un guillemet simple dans un paramètre POST
  • Utilisation de SQLMap pour accéder à la base de données des escrocs
  • Exploration de la base de données pour identifier des informations sur les escrocs

Exploration de la base de données

  • Vérification des informations d’administration des escrocs dans la table admin
  • Vérification des paramètres du site dans la table config
  • Vérification des informations détaillées des victimes dans la table userinfo. 3818 personnes y étaient enregistrées
  • Vérification des informations de suivi des visiteurs du site dans la table records

Conclusion

  • S1n n’a pas précisé comment il comptait traiter toutes ces preuves, mais il les transmettra probablement à l’Internet Crime Center afin de faire fermer le site et d’obtenir que les responsables répondent de leurs actes

À lire aussi

3 commentaires

 
xguru 2024-08-11

On reçoit aussi beaucoup de spams de ce genre ici, avec des URL bizarres ; vous pensez que ça pourrait marcher de la même façon si on essayait ?
 
tempus 2024-08-12

En droit coréen, même une attaque contre un serveur à l’étranger peut poser problème.
À ma connaissance, au grand jour, cela n’était autorisé que de manière très limitée.
 
GN⁺ 2024-08-10
Avis Hacker News

  • NanoBaiter : il piège des escrocs sur YouTube, pirate leurs systèmes et perturbe leurs opérations

    • Il identifie les escrocs, les signale à la police et tente d’obtenir des remboursements pour les victimes
    • Il effectue des remboursements aux victimes via un compte Stripe et capture en vidéo, grâce à la vidéosurveillance, les descentes de police

  • Le sel d’un mot de passe chiffré : "wangduoyu666!.+-" est utilisé

    • Des noms d’utilisateur similaires comme "wangduoyu666", "wangduoyu8", "wdy666666" ont été trouvés
    • Une recherche Google pourrait permettre de retrouver des comptes sur GitHub, LinkedIn, etc.
    • Il utilise un faux nom sur Telegram et usurpe le nom d’un chanteur chinois
    • Des noms similaires sont aussi utilisés sur son compte Telegram de secours
    • Sa chaîne YouTube contient de nombreuses vidéos expliquant comment contourner le Great Firewall chinois

  • Enseignement de l’éthique technologique : un étudiant chinois en informatique utilise les compétences qu’il a apprises pour générer un revenu d’appoint

    • Cela souligne la nécessité d’un enseignement de l’éthique technologique
    • On apprend des techniques puissantes sans accorder assez d’attention à l’éthique

  • Réseau Smishing Triad : il envoie jusqu’à 100 000 SMS frauduleux par jour dans le monde entier

    • Les arnaques via iMessage utilisent l’e2ee, mais les arnaques par SMS devraient pouvoir être détectées
    • Cela met en avant le besoin de forces de l’ordre capables de traiter efficacement la cybercriminalité
    • Certains estiment que les États-Unis ont besoin d’une version Blue Team de la NSA

  • Piratage de cybercriminels : question sur le fait de savoir si pirater des cybercriminels peut être puni par la loi

    • La situation est comparée au fait d’entrer chez un voleur pour récupérer un bien volé

  • Comment ignorer hackers et escrocs : on apprend qu’il vaut mieux les ignorer

    • Ils peuvent riposter très fortement et représenter un danger réel
    • Un ami a piraté un spammeur et son serveur a ensuite été attaqué

  • Besoin d’une nouvelle infrastructure pour les appels/SMS : cela souligne la nécessité d’une infrastructure empêchant l’usurpation de numéro et filtrant les tentatives d’arnaque

  • Clause d’exception du CFAA : certains soutiennent qu’une exception du CFAA est nécessaire pour ce type de situation