Bonjour à tous,
Ce matin en ouvrant ma boite mail j'ai eu le plaisir de découvrir un joli mail de Phishing.
Etant d'humeur enjouée aujourd’hui j'ai décidé de décortiquer un peu ce mail.
concernant l'adresse mail en elle mail, rien de bien exploitable. si ce n'est que mon phisher passe par le serveur de messagerie de l'université de Cergy-Pontoise : quinze-vingts50116075507416799@webmail.u-cergy.fr
Il est donc soit étudiant à Cergy (ce dont je doute), soit il passe par leur serveur de messagerie. (j'enverrais un petit mail à l'administrateur de ce serveur de messagerie au cas ou).
Coté code HTML du message à proprement parlé, rien de tres surprenant, le code phisingde redirection facilement trouvé :
<a href="http://eawwt.com/install.php" target="_blank" rel="noopener noreferrer">
<button type="button" class="x_btn x_btn-danger">Démarche de validation</button></a>
1er constat, ce bouton redirige vers eawwt.com, qui apres recherche est un site enregistré il n'y a pas tres longtemps.
Aucune trace de ce site sur le net, aucun Référencement par les moteurs de recherche traditionnels, et un WHOIS me donne un administrateur avec une adresse GMAIL, etrange.....
Je penche pour dire que ce site est exclusivement dédié au phishing, et n'est pas un site "clean" dont un hacker aurait pris le controle.
Pour ceux que ca interesse l'url en question : http://www.eawwt.com (noté leHTTP et non pas le HTTPS.....)
2eme constat : ET C'EST LA QUE JE VAIS AVOIR BESOIN DE VOS LUMIERES LES GARS ! La redirection renvoie directement vers un script PHP ("http://eawwt.com/install.php")
Je ne m'y connais pas encore suffisament en php pour pouvoir creuser plus loin.
Y a t'il un moyen d'obtenir le code PHP de cette page autrement qu'en allant dessus.
Et question annexe, est-ce potentiellement dangereux de cliquer sur ce lien (genre script php qui exploiterait une faille de sécurité de ma machine).
En fait cette page de phishing m'interpelle dans le sens ou je m'attendant à une redirection vers un site d'ameconnage et ensuite je m'attendais a decouvrir une jolie page web avec saisie d'identifiant et MDP qui irait alimentait ensuite un fichier post.php. et non pas un script php direct (qui s'appelle en plus "install")
Merci pour vos conseils éclairés.
Partager