Phishing du site de la poste.net?

Posez toutes les questions concernant internet en général et son utilisation, les comptes Email, le chat, les opérateurs téléphoniques et fournisseurs d'accès, FTP etc...

Modérateur: Modérateurs

Phishing du site de la poste.net?

Messagepar Pixel » 02 Aoû 2010 01:53

Bonjour,
Je partage avec vous une petite affaire intriguante..
Chromium détecte une page frauduleuse sur le site français de messagerie la poste.net. http://www.laposte.net

Image

Premiere réaction, j'ai pensé a un faux positif, mais en y regardant debplus près, j'ai tendance à croire chromium.
Mais dans ce cas ca veut dire que le site de la poste, qui est quand même une institution a été hacké?
Aucun autre navigateur ne bronche, pas même IE 8 quand on lui demande vérifier l'adresse...
Image

Si je poursuis sur chromium, ça donne les pages suivantes:

Image

Si je m'entête, effectivement, on retrouve l'adresse mentionnée en chargement dans la barre d'état en bas:
Image

Un fichier sans extension s'est téléchargé tout seul, j'avais beaucoup d'onglet ouvert mais je pense que ca a un lien avec ce site..
Je l'ai ouvert avec notepad++, ca donne ceci

Code: Tout sélectionner
<?xml version="1.0" charset="iso-8859-1"?>
<!DOCTYPE html PUBLIC "-//WAPFORUM//DTD XHTML Mobile 1.0//EN" "http://www.wapforum.org/DTD/xhtml-mobile10.dtd" >
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1" />
<meta http-equiv="Cache-Control" content="must-revalidate" />
<meta http-equiv="Cache-Control" content="no-cache" />
<meta http-equiv="Cache-Control" content="max-age=0" />
<meta http-equiv="Expires" content="0" />
<title>Ma bo&#238;te aux lettres</title>
<link rel="stylesheet" href="wapmail/css/template_xhtml_5.css" type="text/css"/>
</head>
<body bgcolor="#FFFFFF" link="#007E91" vlink="#007E91" onload="window.scrollTo(0, 1)" >
<font size="2" color="#000000" face="Arial,Times">
<div align="center"><img src="./images/laposte/logo_LPN_5.gif" alt="" border="0"/>
<br clear="all" />
<hr width="80%" size="1" />
<a class="p_small" href="http://pub.airweb.fr/serv/EGSMedia/281/731/l/5721"><img src="http://pub.airweb.fr/serv/EGSMedia/281/731/i/5721" alt="" border="0"/>
</a><br />
<hr width="80%" size="1" />
<b>Ma bo&#238;te aux lettres</b><br />
Version Beta<br />
<br />
<form action="/index.php" method="post">
<input type="hidden" name="iaim" value="2" />
&#187; Identifiant :<br /> <input type="text" name="U" value="" size="10"  /> <br />
<input type="hidden" name="F" value="INBOX" />
<input type="hidden" name="ALINTO_DEVICE" value="1" />
<input type="hidden" name="domselected" value="laposte.net" />
&#187; Mot de passe :<br /> <input type="password" name="P" value="" size="10"  /> <br />
 <br />
<input type="submit"  value="Connexion" class="button" />

<br /><br />
<input type="checkbox" name="PersistCookie"  value="yes" /> Enregistrer mon mot de passe<br />
</form>
<a class="p_small" href="index.php?deco">Fermer la session</a><br />
 <br />
</div>
<div align="left"><img src="./images/laposte/laposte_5.gif" alt="" border="0"/>
<br clear="all" />
<div align="center" class="p_small"><a href="Help_CGU/HELP_menu.php" class="p_small">Aide</a> | <a href="Help_CGU/CGU_page_1.php" class="p_small">Conditions d'utilisation</a><br /><a href="Help_CGU/Infos_service.php" class="p_small">&gt; Infos Service</a></div></div>
</font>

</body>
</html>


Par contre pas de souci sur le site qui gere les comptes banquaire (laposte est aussi une banque en France)
https://www.labanquepostale.fr/index.html

Je suis curieux d'avoir l'analyse des connaisseurs? Hack réel ou fausse alerte?
Vous en pensez quoi?
Pixel
 
Messages: 29
Inscription: 20 Juin 2005 17:12
Localisation: Martinique

Re: Phishing du site de la poste.net?

Messagepar Falkra » 02 Aoû 2010 09:22

Bonjour,

ton fichier posté ici est la version WAP de la page (version mini, optimisée pour téléphones portables et autres smartphones).
Le domaine lpn.f6m.fr me semble être un CDN5 content delivery network) où ils sotckent leurs CSS et JavaScript pour que ça charge plus vite, optimisation classique sur les gros réseaux.

Je pense qu'il n'y a pas de problème, mais bien un faux positif ici.
Impossible par contre d'afficher correctement la page sous Firefox, chez moi.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1

Re: Phishing du site de la poste.net?

Messagepar JAZZ 2 » 02 Aoû 2010 15:08

Hello,

Cela remarche avec Chrome, la poste semble t'il a changé le code source pour:
laposte-cdn.f6m.fr

A+Lusche Philippe

PS: Pas de soucis avec Opera et firefox ce matin, ayant pas chrome pas essayé :)
Un homme sans patience est une lampe sans huile.( Segovia ) 
"Ecoute le conseil des autres et suis le tien"
Avatar de l’utilisateur
JAZZ 2
Libellulien Junior
Libellulien Junior
 
Messages: 488
Inscription: 02 Avr 2010 14:37
Localisation: Région Parisienne 93

Re: Phishing du site de la poste.net?

Messagepar Pixel » 05 Aoû 2010 19:00

Merci pour vos réponses et ton analyse Falkra!
effectivement, l'adresse suspectée par chromium ne se charge plus, remplacée par aposte-cdn.f6m.fr
Un rapport de cause à effet?
Pixel
 
Messages: 29
Inscription: 20 Juin 2005 17:12
Localisation: Martinique

Re: Phishing du site de la poste.net?

Messagepar Falkra » 05 Aoû 2010 23:08

Soit ils ont change leur adresse, soit Chromium a corrigé un faux positif, soit un habile mélange des deux, de toute manière, ça tourne comme on veut. ;)
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25777
Inscription: 30 Jan 2005 14:44
Localisation: 127.0.0.1


Retourner vers Internet

Qui est en ligne

Utilisateurs parcourant ce forum: Bing et 2 invités
cron