Bonjour,
Depuis un mois je reçois plusieurs emails/spams avec le schéma suivant :
- Le nom de l'expéditeur est celui d'un ami, par exemple "Jean Dupont"
- L'email de l'expéditeur est faussé, par exemple JeanDupont@example.com
- Le sujet de l'email est "From: Jean Dupont"
- L'email est envoyé à un sous-ensemble des contacts de mon ami (c'est sûr car les contacts ne sont connus que de mon ami)
- L'email contient uniquement un lien du genre: http://site.bizarre.com/mot.php?Jean_Dupont
- L'email a une signature après le lien "Jean Dupont"
Est-ce que cela vous dit quelque chose ?
Cela m'étonnerait que subitement tout le monde se soit fait piraté, mais je ne vois pas d'autres explications…
# ton ami est vérolé (enfin son PC)
Posté par NeoX . Évalué à 2.
du coup, son carnet d'adresse a été piraté,
et le virus envoie des emails avec son carnet d'adresse…
CQFD
[^] # Re: ton ami est vérolé (enfin son PC)
Posté par desktop.ready . Évalué à 0.
C'est l'explication la plus simple mais je trouve cela bizarre.
D'autant que je n'ai pas trouvé trace de ce mode opératoire sur Internet.
Donc je ne peux même pas dire quel virus a infecté leur ordinateur.
[^] # Re: ton ami est vérolé (enfin son PC)
Posté par Kerro . Évalué à 3.
C'est le mode principal de récupération des identifiants de serveurs emails depuis pas mal de temps.
Le logiciel malveillant est s'installe sur le poste, récupère les identifiants emails et carnet d'adresse, et communique le tout à « son maître ».
Si le mot de passe du serveur email change, et qu'on le change dans le logiciel d'emails, ça ne sert à rien tant que le logiciel reste installé sur le poste car cela va de nouveau être communiqué au maître.
[^] # Re: ton ami est vérolé (enfin son PC)
Posté par desktop.ready . Évalué à 0.
Si c'est un virus qui cherche à se propager, quel est l'intérêt de mettre le nom dans l'URL ?
Je suis preneur d'un lien qui donne le nom d'un virus qui a exactement ce mode opératoire (i.e avec un lien du genre http://site.bizarre.com/mot.php?Jean_Dupont).
Cela me permettra d'orienter mes contacts dans la recherche d'un bon antivirus !
Merci
[^] # Re: ton ami est vérolé (enfin son PC)
Posté par dj_ (site web personnel) . Évalué à 2.
c'est peut etre simplement un équivalent d'un système de lien de tracking dans les campagnes marketing
T'as un email avec une suite de caractère a du genre https://campagnedepub/929c44e02e8920d9f7610527874fb3492e3 sauf de pour le virus c'est plus simple car le codeur n'avait pas envie de s'ennuyer
[^] # Re: ton ami est vérolé (enfin son PC)
Posté par desktop.ready . Évalué à 0.
Mais il n'y rien dans l'email à part le lien bizarre, donc pour une campagne marketing c'est râté.
C'est vraiment bizarre, car les personnes infectés n'ont absolument aucun lien entre elles et l'email est identique dans son mode opératoire.
Et je ne trouve personne d'autre sur terre ayant eu ce genre d'email.
Ou bien il y a une infinité d'emails/virus de ce genre (raison pour laquelle personne ne prend la peine de rapporter cet email/virus en particulier), et dans ce cas c'est une énorme coïncidences que 4 de mes contacts se trouvent infectés par exactement le même virus.
Ou bien il n'y que très peu d'emails/virus de ce genre, depuis un mois ce virus se répand sur la France, mais la plupart des gens s'en contrefichent et n'en parlent pas.
A moins que j'ai loupé une troisième option ?
[^] # Re: ton ami est vérolé (enfin son PC)
Posté par NeoX . Évalué à 1.
peut-etre parce qu'il faut comprendre comment ca marche…
dans ton cas, il y a un probleme de comprehension
les personnes qui recoivent l'email ne sont pas infectées,
c'est l'emetteur de l'email qui l'est,
voir juste le propriétaire du carnet d'adresse qui a servit à alimenter la base de pishing
pour en savoir plus il faut les entetes de l'email, qui vont te dire d'ou l'email est partit
[^] # Re: ton ami est vérolé (enfin son PC)
Posté par desktop.ready . Évalué à -1.
Je pense que c'est plutôt toi qui ne comprend pas ma réponse et la situation.
D'une, les 4 personnes (aujourd'hui 6…) dont je parle sont les personnes qui ont envoyé l'email (et pas celle qui ont reçu).
De l'autre j'ai bien indiqué que dans les emails envoyés, les destinataires ne sont connus que de l'émetteur et de lui seul.
Crier au loup systématiquement et dire que l'ordinateur est vérolé sans chercher à comprendre plus loin, n'aide pas vraiment. Je suppose qu'après on va me dire de formater/réinstaller l'ordinateur ou d'installer openBSD car Windows/Mac/Linux c'est troué de toute façon ?
Enfin bref j'ai analysé la situation, trouvé le point commun entre toutes les personnes concernées, trouvé des rapports similaires d'incidents sur Internet et confirmé avec l'aide d'une personne concernée ce qui s'est passé.
Et devinez quoi ? Leur PC n'est pas vérolé.
[^] # Re: ton ami est vérolé (enfin son PC)
Posté par Kerro . Évalué à 3.
avoir son adresse dans le champ « expéditeur » != envoyer un email
Forcément, puisque c'est le PC de la personne « qui a le carnet d'adresses » qui est vérolé.
Et puis « pas vérolé » ça reste à prouver, car il y a toujours un étourdi pour cliquer sur http://gros.site.de.virus.com/sexe-argent-reduction-impots
[^] # Re: ton ami est vérolé (enfin son PC)
Posté par desktop.ready . Évalué à 0.
Les destinataires ne sont connus que d'une seule et unique personne (i.e. par exemple des collègues du boulot). C'est comme cela que j'identifie l'expéditeur.
Non le PC n'est pas vérolé. Je ne vois vraiment pas pourquoi on m'assène cela de manière évidente et définitive, comme si c'était la seule explication rationnelle possible sans chercher plus loin.
Enfin bref, j'ai résolu le problème (et les différents PC n'étaient pas vérolés).
# Piste
Posté par desktop.ready . Évalué à 4.
Ah j'ai trouvé une piste !
Tous les contacts ont yahoo.fr comme fournisseur d'email.
Et apparemment c'est n'est pas un virus :
https://askleo.com/why_am_i_getting_or_sending_emails_that_contain_only_a_link_or_spam_from_my_contacts/
On dirait plutôt qu'il y a eu hack de yahoo.fr !
[^] # Re: Piste
Posté par NeoX . Évalué à 1.
oui et non,
suffit que le compte de l'expediteur ait été piraté pour que son carnet d'adresse soit exposé.
alors OK ce n'est pas un cirus,
mais c'est chez l'expediteur qu'il faut chercher, changer son mot de passe, etc
les gens qui ont recu l'email n'ont rien à faire.
[^] # Re: Piste
Posté par desktop.ready . Évalué à 1.
Oui c'est ça : ils se sont fait piraté leur compte. Apparemment lors d'un voyage à l'étranger dans un cyber-café ou à l'hôtel (je dois encore recouper les informations, à confirmer).
Je ne sais pas si c'est une faille XSS ou un truc un plus exotique (vu le délai très court où tous ces gens se sont fait piratés, je n'exclue pas une faille chez Yahoo directement).
Bien entendu les destinaires n'ont rien à faire. Mon but était d'identifier précisément le problème chez les expéditeurs pour les aider.
Pour l'instant j'ai recommandé de vérifier les logs de connexion (surprise ! quelqu'un s'est connecté d'un pays bizarre !), de changer le mot de passe et d'activer le 2-factor authentification.
Si je m'étais juste arrêté à « votre PC est vérolé », cela ne les aurait pas aidé, au contraire (le temps d'installer/acheter plusieurs antivirus, formater et réinstaller), et j'aurais perdu en crédibilité.
D'où l'intérêt de ne pas crier au virus immédiatement et systématiquement en excluant toute autre possibilité.
[^] # Re: Piste
Posté par NeoX . Évalué à 1.
dans le sujet initial tu parlais d'UN expediteur, vers plusieurs Destinataires.
là maintenant tu parles de plusieurs expediteurs,
ce n'est pas le meme probleme,
et en effet, il fallait alors chercher les points communs, comme pour n'importe quel propagation.
et tu as trouvé yahoo avec peut-etre une faille chez yahoo, ou comme tu le soulignes, ces gens sont tous partis en vacances en meme temps, ont tous utiliser le meme cybercafé…
c'est donc soit yahoo qui est hacké, soit le cybercafé qui est infecté :/
[^] # Re: Piste
Posté par desktop.ready . Évalué à 2.
Vraiment ? En lisant le message initial, tout le monde interprète sans ambigüité que je spécifie qu'il n'y a qu'un seul expéditeur et que je considère les destinataires comme infectés ?
Je veux bien croire que c'est ambigüe (et dans ce cas là il ne faut pas hésiter à poser la question) mais de là à dire que j'ai affirmé le contraire… Surtout avec les clarifications apportés au cours du fil de discussion :
Je remercie les gens d'avoir consacré leur précieux temps à essayer de m'aider, mais je souligne juste que :
Parce que si je fais le bilan des réponses reçues, j'ai plutôt l'impression que les gens ont leur idée bien ancrée dans leur tête et n'accepte pas les informations que leur donne. Au risque de m'orienter dans la mauvaise direction :
Bon on ne va pas en faire une montagne non plus, le problème est résolu, c'est le plus important !
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.