WELCOME TO THE
EU-PI PROJECT BLOG

FrActualités: pas de nouvelles, bonne nouvelle !

07/11/2013
Phishing-Initiative

Phishing-Initiative a reçu ces derniers jours plusieurs signalements portant sur le site www.fractualites.com, qui annonce rétribuer ses membres pour la lecture d’articles sur Internet.

Si le concept en lui-même (et son extension logique qu’est le parrainage et l’affiliation) est légitime, nous vous conseillons la plus grande prudence dans ce cas (et sa déclinaison linguistique allemande ou brésilienne, peut-être sur un modèle de développement par pays comme le font les ransomware)

Il ne nous a pas pris longtemps pour déterminer qu’il s’agit bien d’un site suspect. Néanmoins, comme il n’usurpe pas l’identité d’une organisation légitime pour récupérer des informations, il ne peut véritablement être classé comme phishing. On est ici plus probablement dans une autre forme d’escroquerie, telle que détaillé dans certaines analyses pertinentes déjà réalisées.

Mais nous pouvons apporter quelques éléments supplémentaires. Les vecteurs pour attirer les utilisateurs potentiels sont principalement de type viral, via des campagnes de spam et de promotion sur différents sites et forums, en particulier relayés par les affiliés (= parrains). Un « parrain » a même créé une page Facebook et une video sur YouTube.

Evidemment, le domaine -déposé récemment et anonymement via un bureau d’enregistrement russophone- et son site associé, hébergé sur un serveur ukrainien, doivent de facto ne pas inciter à la confiance.
En creusant un peu, on se rend compte également que quelques autres domaines sont hébergés sur cette même adresse IP:
centrgroup.com.ua
questbsn.com
secinfo.cc

Aucune info pertinente n’a été retrouvée sur les deux premiers domaines. Mais secinfo.cc est un site opéré par un cybercriminel russophone, qui utilise l’adresse email « abusemaillab@gmail.com », comme le montre son certificat SSL :

L’accès au site est protégé par une identification. Mais son objectif est vraisemblablement identique à d’autres sites détenus auparavant par l’individu comme secinfo.biz et consacrés à la fraude en ligne (notamment la revente de cartes de crédit volées):
En effet ce même individu opérait avant sur le même principe pp24.biz ou ppkub.com, aujourd’hui plus actifs car suspendus.

Les prestataires utilisés et informations issues des Whois, bien que pouvant être composé de données fictives, apportent une indication possible sur la nationalité du détenteur, parfois baptisé « Pupa Alex »:

Registrant Address1:                         industry d 30/1  102
Registrant City:                             spb
Registrant State/Province:                   spb
Registrant Postal Code:                      683032
Registrant Country:                          Russian Federation
Registrant Country Code:                     RU
Registrant Phone Number:                     +7.9285781235
Registrant Email:                            abusemaillab@gmail.com

Ceci peut potentiellement expliquer les fautes d’orthographes et erreurs de syntaxe française de fractualites.com.
Des précédentes tentatives de malveillance par le probable même individu, mais via l’adresse abuselaboratory@gmail.com, de type malware (par exemple ZeuS) ou escroquerie, peuvent être également facilement retrouvées.

Des centaines de personnes se sont déjà inscrites sur le site, en justifiant leur acte par un « au cas où ça marche ». On constate heureusement qu’un grand nombre d’individus ont flairé l’arnaque, notamment en réalisant des simples calculs mathématiques sur le coût engendré pour l’organisateur.

Et si le risque effectif suite à une inscription est en effet minime, le fait de donner un e-mail valide à un individu suspect, notamment celui de son compte PayPal nécessaire pour retirer les « gains », lui permettra à coup sûr de rentabiliser cette arnaque par :
– la monétisation des clics effectués par les inscrits à son propre bénéfice,
– la revente des informations collectées,
– l’envoi de plus de spams ciblés (voire des campagnes de phishing et par exemple usurpant PayPal).
– etc.

Une chose est sûre vu le profil du détenteur probable de fractualites.com : s’inscrire sur ce site vous rapportera probablement plus de problèmes que d’argent. Quand c’est trop beau pour être vrai…