Discussion :

[_john_doe]

Bonjour à tous,
Ce matin en ouvrant ma boite mail j'ai eu le plaisir de découvrir un joli mail de Phishing.
Etant d'humeur enjouée aujourd’hui j'ai décidé de décortiquer un peu ce mail.
concernant l'adresse mail en elle mail, rien de bien exploitable. si ce n'est que mon phisher passe par le serveur de messagerie de l'université de Cergy-Pontoise : quinze-vingts50116075507416799@webmail.u-cergy.fr
Il est donc soit étudiant à Cergy (ce dont je doute), soit il passe par leur serveur de messagerie. (j'enverrais un petit mail à l'administrateur de ce serveur de messagerie au cas ou).

Coté code HTML du message à proprement parlé, rien de tres surprenant, le code phisingde redirection facilement trouvé :
<a href="http://eawwt.com/install.php" target="_blank" rel="noopener noreferrer">
<button type="button" class="x_btn x_btn-danger">Démarche de validation</button></a>

1er constat, ce bouton redirige vers eawwt.com, qui apres recherche est un site enregistré il n'y a pas tres longtemps.
Aucune trace de ce site sur le net, aucun Référencement par les moteurs de recherche traditionnels, et un WHOIS me donne un administrateur avec une adresse GMAIL, etrange.....
Je penche pour dire que ce site est exclusivement dédié au phishing, et n'est pas un site "clean" dont un hacker aurait pris le controle.
Pour ceux que ca interesse l'url en question : http://www.eawwt.com (noté leHTTP et non pas le HTTPS.....)

2eme constat : ET C'EST LA QUE JE VAIS AVOIR BESOIN DE VOS LUMIERES LES GARS ! La redirection renvoie directement vers un script PHP ("http://eawwt.com/install.php")
Je ne m'y connais pas encore suffisament en php pour pouvoir creuser plus loin.
Y a t'il un moyen d'obtenir le code PHP de cette page autrement qu'en allant dessus.
Et question annexe, est-ce potentiellement dangereux de cliquer sur ce lien (genre script php qui exploiterait une faille de sécurité de ma machine).

En fait cette page de phishing m'interpelle dans le sens ou je m'attendant à une redirection vers un site d'ameconnage et ensuite je m'attendais a decouvrir une jolie page web avec saisie d'identifiant et MDP qui irait alimentait ensuite un fichier post.php. et non pas un script php direct (qui s'appelle en plus "install")
Merci pour vos conseils éclairés.

[mathieu]

En fait cette page de phishing m'interpelle dans le sens ou je m'attendant à une redirection vers un site d'ameconnage et ensuite je m'attendais a decouvrir une jolie page web avec saisie d'identifiant et MDP qui irait alimentait ensuite un fichier post.php. et non pas un script php direct (qui s'appelle en plus "install")

on arrive bien sur une redirection d'une page sur le domaine sabuko.org qui affiche un écran de connexion se faisant passer pour Free Mobile
ce site à l'air d'être celui d'une association qui c'est fait piraté pour se retrouver avec cette page de connexion https://www.sabuko.org/

[_john_doe]

Merci Mathieu,
Perso j'avais pas osé cliquer De peur d'un exploit PhP sur ma machine

Mais du coup je vois pas leur logique, pourquoi n'ont t'ils pas mis directement leur page d'hameconnage directement sur le 1er serveur, vu qu'ils semblent le controler aussi ?

[revedelle]

Un script PHP s'exécute coté serveur et mis a part te renvoyer du html et du JS il ne peut rien faire de bien méchant. Les navigateurs moderne protègent énormément l'utilisateur (tout est plutôt très bien cloisonné) à tel point que pour corrompre sa machine juste en cliquant sur un lien il faut presque le vouloir.