Faux SMS TousAntiCovid : comment un phishing est-il désactivé ?
Ce 4 décembre, nous vous alertions sur un dangereux phishing,copie parfaite du message de promotion du gouvernement pour TousAntiCovid.
Plus de 6 heures après la parution de notre article, le site du phishing était encore actif, mais il a été mis hors d'état de nuire peu après. Les services utilisés dans la mise en place du phishing, Bitly et Cloudflare, avaient été prévenus via leurs formulaires d'abus, dédiés à la gestion de ces problèmes. L'équipe en charge de TousAntiCovid s'était aussi saisie du problème.
https://twitter.com/TousAntiCovid/status/1334818092984233986
Mickaël, contact régulier de Cyberguerre et passionné par le signalement de phishing, ne s'étonnait qu'à moitié de la situation. « D'habitude, CloudFlare prend entre 2 et 3 jours à réagir. Pour Bitly, c'est plutôt entre 1 et 2 jours », estimait-il.
Le site a finalement été isolé par son registrar, Namecheap, avant que les deux entreprises et l'hébergeur n'aient agi. C'était l'un des quatre scénarios qui pouvait mettre fin à ses nuisances.
https://twitter.com/FabianRODES/status/1334907704855375874
Quatre niveaux d'intervention pour mettre fin à la diffusion du phishing
Premier niveau : couper la source, le lien Bitly du message
Pour protéger tous les destinataires du message, une des mesures possibles était de couper le lien malveillant diffusé par le SMS, https://bit[.]ly/AntlCovid19. Bitly est un raccourcisseur de lien, utilisé ici par les malfrats comme première maille du phishing en cachant l'adresse de la page malveillante.
Concrètement, lorsqu'une personne cliquait sur le lien de Bitly, elle était redirigée immédiatement sur le site frauduleux, covid[.]tousensemble[.]app. « Il est déjà possible de bloquer l’attaque ici en supprimant la redirection ou bien en le redirigeant vers le vrai site de TousAntiCovid », estimait l'expert en cybersécurité Fabian Rodes, avant que le site ne soit plus accessible. Alerté via son formulaire d'abus, c’était à Bitly de mettre une de ces deux actions en place, ce qui aurait suffi à neutraliser le phishing.
Deuxième niveau : rediriger hors de la page malveillante
« Le nom de l'hébergeur de la page de phishing est caché par Cloudflare », constatait le consultant. Il précisait : « Dans le jargon, Cloudflare est ce qu'on appelle un service de 'reverse proxy'. Il se place entre l'utilisateur et le site, et propose plusieurs fonctionnalités, dont celle de masquage. » Là encore, Cloudflare servait donc d'écran. Mais à la suite du signalement, l’entreprise aurait pu décider d'arrêter de rediriger les utilisateurs vers la page malveillante.
Troisième niveau : le registrar rend le site inaccessible
C'est finalement le scénario qui s'est produit, 7 heures après la parution de notre premier article, et avant les trois autres. Le registrar, ici Namecheap, est le service qui a permis aux malfaiteurs d'acheter le nom de domaine tousensemble[.]app. Après signalement, le registrar a pu supprimer les entrées DNS du site. Autrement dit, il a supprimé l'élément qui permettait aux navigateurs (Chrome, Edge, Firefox...) de trouver où l'adresse du site, et ils ne pouvaient donc pas s’y connecter. Le site est donc possiblement toujours actif, mais on ne peut plus y accéder.
Quatrième niveau : l'hébergeur débranche le site
L'hébergeur du site aurait pu décider de le mettre hors ligne. Mais son identité était masquée par Cloudflare, de sorte qu'il n'était pas possible de le contacter. Le site malveillant est donc vraisemblablement toujours actif, mais il n'est plus accessible grâce aux actions du registrar.