Plus de 6 heures après la parution d'un article sur Cyberguerre, le dangereux phishing qui imitait le gouvernement n'était toujours pas hors ligne. En conséquence, des victimes mal informées pouvait encore tomber dans le piège des malfaiteurs. Heureusement, le site a finalement été mis hors d'état de nuire peu après.

Ce 4 décembre, nous vous alertions sur un dangereux phishing,copie parfaite du message de promotion du gouvernement pour TousAntiCovid. Sauf qu’au lieu de rediriger ses destinataires vers un portail pour installer l’app officielle, le SMS les envoyait sur une copie malveillante. Son objectif : leur faire télécharger un malware particulièrement virulent, nommé Alien.

Plus de 6 heures après la parution de notre article, le site du phishing était encore actif, mais il a été mis hors d’état de nuire peu après. Les services utilisés dans la mise en place du phishing, Bitly et Cloudflare, avaient été prévenus via leurs formulaires d’abus, dédiés à la gestion de ces problèmes. L’équipe en charge de TousAntiCovid s’était aussi saisie du problème.

Mickaël, contact régulier de Cyberguerre et passionné par le signalement de phishing, ne s’étonnait qu’à moitié de la situation. « D’habitude, CloudFlare prend entre 2 et 3 jours à réagir. Pour Bitly, c’est plutôt entre 1 et 2 jours », estimait-il.

Le site a finalement été isolé par son registrar, Namecheap, avant que les deux entreprises et l’hébergeur n’aient agi. C’était l’un des quatre scénarios qui pouvait mettre fin à ses nuisances.

Quatre niveaux d’intervention pour mettre fin à la diffusion du phishing

  • Premier niveau : couper la source, le lien Bitly du message

Pour protéger tous les destinataires du message, une des mesures possibles était de couper le lien malveillant diffusé par le SMS, https://bit[.]ly/AntlCovid19. Bitly est un raccourcisseur de lien, utilisé ici par les malfrats comme première maille du phishing en cachant l’adresse de la page malveillante.

Concrètement, lorsqu’une personne cliquait sur le lien de Bitly, elle était redirigée immédiatement sur le site frauduleux, covid[.]tousensemble[.]app. « Il est déjà possible de bloquer l’attaque ici en supprimant la redirection ou bien en le redirigeant vers le vrai site de TousAntiCovid », estimait l’expert en cybersécurité Fabian Rodes, avant que le site ne soit plus accessible. Alerté via son formulaire d’abus, c’était à Bitly de mettre une de ces deux actions en place, ce qui aurait suffi à neutraliser le phishing.

À gauche le vrai message du gouvernement À droite, le SMS de phishing avec le fameux lien Bitly. // Source : Numerama
  • Deuxième niveau : rediriger hors de la page malveillante

« Le nom de l’hébergeur de la page de phishing est caché par Cloudflare », constatait le consultant. Il précisait : « Dans le jargon, Cloudflare est ce qu’on appelle un service de ‘reverse proxy’. Il se place entre l’utilisateur et le site, et propose plusieurs fonctionnalités, dont celle de masquage. » Là encore, Cloudflare servait donc d’écran. Mais à la suite du signalement, l’entreprise aurait pu décider d’arrêter de rediriger les utilisateurs vers la page malveillante.

  • Troisième niveau : le registrar rend le site inaccessible 

C’est finalement le scénario qui s’est produit, 7 heures après la parution de notre premier article, et avant les trois autres. Le registrar, ici Namecheap, est le service qui a permis aux malfaiteurs d’acheter le nom de domaine tousensemble[.]app. Après signalement, le registrar a pu supprimer les entrées DNS du site. Autrement dit, il a supprimé l’élément qui permettait aux navigateurs (Chrome, Edge, Firefox…) de trouver où l’adresse du site, et ils ne pouvaient donc pas s’y connecter. Le site est donc possiblement toujours actif, mais on ne peut plus y accéder.

  • Quatrième niveau : l’hébergeur débranche le site

L’hébergeur du site aurait pu décider de le mettre hors ligne. Mais son identité était masquée par Cloudflare, de sorte qu’il n’était pas possible de le contacter. Le site malveillant est donc vraisemblablement toujours actif, mais il n’est plus accessible grâce aux actions du registrar.

Crédit photo de la une : Capture Numerama

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux