Journal [long] Méls fourrés au virus de plus en plus bizarre et inquiétant...

Posté par  .
Étiquettes : aucune
0
4
mai
2004
Je reçois des méls de plus en plus sophistiqués et j'avoue que ça vire franchement inquiétant. je me suis-même posé des questions sur une possible usurpation d'identité mél pour dire...

Alors avant de virer parano complet, je fais appel au lectorat Linuxéférien sur deux cas vraiment surprenants :

Admettons que j'ai un compte chez yahoo (disons Yojik le Terrible "yojik_grosny@yahoo.fr") et ma nana de même, avec par dessus ça une redirection gandi sur des adresses de type "mayakovski.net" en admettant que "mayakovski" soit mon vrai nom ;-))
(il est modeste en plus, le petit hérisson dormeur....)

Bien, passons aux exemples :

1°) ma Dame reçoit un mél à virus (un bon vieux "joke.hta", déjà bizarre ce genre de virus à base de VBS me semblait un peu obsolète...) et là, spoofing incroyable, l'adresse de l'expéditeur est bien "Yojik-Ivanovitch@mayakovski.net".
Par contre dans la colonne expéditeur de mozilla, il ne s'affiche pas "Yojik-Ivanovitch" comme de juste mais "Yojik-ivanovitch".

Bizarre, pourquoi Mozilla fait-il cela puisqu'il s'agit de la même adresse ?
Et bien parce que normalement Mozilla lit le champs "from" de l'En-Tête et associe le From à la fiche de visite. Mais là, il n'y a pas deux champs, l'un From et l'autre Reply to mais un unique champs "from" qui désigne mon adresse virtuelle en "balabla@mayakovski.net" !!

comment un robot peut-il être assez malin pour bricoler à partir d'une adresse type "Tonton_Citron@mayakovski.fr" un champs expéditeur de forme "Tonton citron" !!? Ca me coupe la chique et ça m'inquiète. J'ai cru comment je l'ai dit plus haut à une malveillance mais, en y réflechissant, ce type de troncage n'est pas invraisemblable même si je trouve le niveau d'ingéniosité déjà terrifiant.

Des avis ou des commentaires sur ce point seraient appréciés (et peut-être pas seulement par moi...)

Une fois ouverte (??doute sur le genre??) l'en-tête, le doute est impossible : il n'y pas d'User-Agent. Mais tout le monde ne vérifie pas ce genre de chose...
Le dernier point inquiétant c'est quand même que ce mél est passé sur le serveur de gandi !!
Soit l'En-Tête est falsifié soit je ne comprends pas comment un mél comme ça peut-être rerouté ??

enfin, l'émetteur originel est supposé être un site maronite (??!) mais en réalité l'adresse IP appartient à noos.fr et elle ne répond d'ailleurs pas (ça va motiver un mél à stop-abuse@noos.fr ou à ce qui en tient lieu d'ailleurs...)


*****

2°) Plus simple mais bizarre aussi : je reçois un mél d'un parfait inconnu (genre adresse usurpée par un ver) avec pour titre "Mail Delivery (failure yojik_grozny@yahoo.fr)" et comme contenu :

"
If the message will not displayed automatically,
follow the link to read the delivered message.

Received message is available at:
www.yahoo.fr/inbox/yojik_grozny/read.php?sessionid-8964
"

Et, ce qui est encore plus spectaculaire, c'est que le pseudo-lien vers yahoo (le serveur mail de yahoo, c'est mail.yahoo.com de mémoire...) dirige en réalité vers... mon /home/yojik/.mozilla/.../Trash?78:file...
(c'est la barre d'état de mozilla qui me le dit...)
C'est à dire vers l'endroit où se trouve le mél que j'avais promptement poubelisé avant d'essayer d'y voir plus clair.
Donc il y aurait eu dans ce mél un fichier joint, non détecté par mozilla ?

Au final, Késako ??

- on a usurpé mon adresse pour du spam et je reçois le Non delivery ??
(bizarre, mon mot de passe est quand même bien épais...)
- Yahoo aurait bloqué une cochonerie par "précaution" mais me laisse le choix d'accéder quand même au document ?? (idiot dans ce cas de laisser l'adresse originale de l'expéditeur et de ne pas dire de quoi il retourne plus explicitement, non ??)
- une astuce de contamination retorse (c'est bien entendu ça la bonne réponse mais comment est-ce réalisé : un virus qui prendrait en compte la carte d'identité de mon client mél (Moz+Linux) pour me monter un traquenard crédible ?? => a priori non. Plutôt un fichier joint camouflé avec une pseudo-url vers un site extérieur obtenu à partir de mon adresse mél véritable (ici @yahoo.fr). Retors, ces gens là sont retors...)).


Merci à vous d'avoir participé à cette expérience maïeutique, je pense que je vais googler et altavister un peu sur le spoofing cette après-midi, moi ;-))

Tous commentaitres informatifs très bienvenus, of course...

Yojik Natural-Born-Sleeper
--
"I always dreamed I'd love you
I never dreamed I'd lose you
In my dreams I'm always strong"
Mercury Rev, The Dark is rising, All is Dream, 2001, Sony Music

  • # ouep !

    Posté par  . Évalué à -1.

    oui c'est assez dingue, meme les initiés s'y perdrait, heureusement on est sous linux/bsd

  • # pas compris :(

    Posté par  . Évalué à 2.

    Euh ... J'ai trouvé ça pas très clair (mais c'est peut-être moi qui suis mal réveillé ;) )

    1) comment un robot peut-il être assez malin pour bricoler à partir d'une adresse type "Tonton_Citron@mayakovski.fr" un champs expéditeur de forme "Tonton citron" !!?

    Je n'ai pas compris où tu voulais en venir ? La transformation est triviale (en terme de découpage de la chaine de caractère), et prendre comme expéditeur la partie avant le @ de l'adresse mail est tout à fait normal (c'est un peu le principe de la construction d'une adresse mail ;) ).

    Ou alors j'ai mal compris le problème (très possible ;) ) ?

    2) Plutôt un fichier joint camouflé avec une pseudo-url vers un site extérieur obtenu à partir de mon adresse mél véritable (ici @yahoo.fr). Retors, ces gens là sont retors...)).

    C'est plutôt ça, AMHA ... Mais j'ai pas bien compris ce que ça faisait ... L'adresse indiquée pointait sur le mail-lui même ?

    • [^] # Re: pas compris :(

      Posté par  . Évalué à 2.

      > La transformation est triviale (en terme de découpage de la chaine de caractère), et prendre comme expéditeur la partie avant le @ de l'adresse mail est tout à fait normal (c'est un peu le principe de la construction d'une adresse mail ;) ).

      C'est toi qui a raison. L'air de rien ce monologue m'a permis de résoudre tout seul un certain nombre de questions. Pour ce point particulier, je n'ai réalisé que la manip était triviale * qu'après* avoir envoyé le journal.

      Il faut dire que je soigne pas mal mes annuaires et normalement un "Tonton_Citron@mayakovski.fr" sera affiché comme un "Dr. Tonton Citron :: Université Paris XV - UMR U328 Maîeutique Appliqué" par Mozilla via le carnet d'adresse.

      ce n'est pas le cas de ma Dame qui elle avait laissé, pour poursuivre l'exemple fictif de Tonton_Citron, comme nom affiché "Tonton Citron". Effectivement dans ce cas là, la confusion était beaucoup plus facile.
      Un argument dans ma besace pour peaufiner les identifiants donc...

      Ceci dit les détours que j'emprunte pour ne pas donner mes vrais identifiants ne contribue pas à la clarté de mon propos et là encore, tu as raison, c'est pas limpide :-)


      > C'est plutôt ça, AMHA ... Mais j'ai pas bien compris ce que ça faisait ...
      > L'adresse indiquée pointait sur le mail-lui même ?

      Voui. Mozilla ne visualisait pas le mél en question comme contenant une pièce jointe (pas d'agrafe sur l'icône pour parler clair). Dès réception j'avais viré à la poubelle ce mél infesté. Et c'esten vérifiant le lien réel et pas le lien affiché (www.yahoo.fr/yojik_grozny/...) que j'ai compris que le lien visait l'emplacement de la corbeille de mon compte mozilla.
      Donc le fichier joint était dedans.

      Pour confirmer ça, je viens de lire le code source du mél et j'ai bien trouvé ça :

      ------=_NextPart_000_001B_01C0CA80.6B015D10
      Content-Type: audio/x-wav;
      name="message.scr"
      Content-Transfer-Encoding: base64
      Content-ID:<031401Mfdab4$3f3dL780$73387018@57W81fa70Re>

      et après ça une petite centaine de ligne type ascii.


      Comment Mozilla se fait-il tromper, mystère ??

      Ca mériterait peut-être une vérif' sur Bugzilla...

      Fraternellement,

      Yoj'

  • # l'usurpation est facile

    Posté par  (site web personnel) . Évalué à 1.

    >- on a usurpé mon adresse pour du spam et je reçois le Non delivery ??
    >(bizarre, mon mot de passe est quand même bien épais...)

    J'espère que tu est bien conscient que n'importe qui peut envoyer un mail de la part de n'importe qui !
    En fait le serveur smtp demande au client quel champ "from" il doit mettre dans le mail. Il y rarement authentification pour se connecter à un serveur smtp.
    L'authentification ne sert que pour pop ou imap, et rien ne t'empeche sous mozilla de creer un compte mail bidon et d'envoyer des messages.
    Mais je suis pas sur d'apprendre grand chose aux lecteurs de LinuxFr, ni à toi.
    Bon je vais me coucher

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.