Allez hop je vais étoffer parce que les sites des banques sont pas assez détaillées
19.03.2006
Depuis quelques heures, la BNP - ParisBas est visée par une attaque pirate de type phishing. Les pirates tentent ainsi de récolter les informations sensibles, tels que le login et le mot de passe, des comptes clients.
Le site pirate utilise ce type d´adresse : confproc.tv. Le serveur est basé en Corée du sud, chez Korea Telecom via Wainnaradaskeom. Le pirate a rajouté un sous domaine, secure.bnpparibas.net.banque, au l´url piraté afin de faire passer cette adresse comme une page officielle. Prudence donc car il semble que notre pirate utilise un générateur d´url. Plusieurs mels ont été envoyés avec des adresses différentes comme, par exemple, www.secure.bnpparibas.net.banque.confproc.cc. Dans l´ensemble des cas rencontrés, 4 mels différents, la fin de l´url piégé se termine, pour le moment, par /r1/bn/. Cette attaque est massive. Nous avons pu le constater via les logs de plusieurs lecteurs littéralement noyés par le faux mel de la BNP - Parisbas.
Sur ce même serveur on y trouve les sites
my.hypovereinsbank.de.prot.templates.35yx65le.real
capitalz.net et
my.hypovereinsbank.de.prot.templates.d6vf5r3s.best
replicagifts.com.
Serveur, Windows 2000, sous Apache/1.3.34 (Unix) mod_ssl/2.8.25 OpenSSL/0.9.7a PHP/4.4.2 mod_perl/1.29 FrontPage/5.0.2.2510. Relancé par le pirate le 19 Mars. Ip à bloquer, pour le moment : 211.195.221.187.
Aprés notre alerte au sujet de la LCL - Crédit Lyonnais, la semaine derniére, les banques Françaises semblent de nouveau être la cible des pirates.
-----------------------------------------------
20.03.2006
Aprés la LCL et la BNP voici le tour de la Société Générale de subir une attaque phishing. Nous en sommes certains, le pirate est le même. Aprés avoir tenté de piéger les clients de la BNP voici qu´il s´attaque désormais aux clients de la Société Générale. Toujours la même méthode, la création de plusieurs sous-domaines hébergés, cette fois, sur un serveur de chez Inside PC Room, une société basée en Corée du sud. Les adresses utilisent les mots "societegenerale.fr; banque" et sont tous renvoyés sur les serveurs mgmcomps.com et rock.net avec les mêmes sous répertoires /r1/sg/. Les pages pirates sont toujours actives au moment de l´écriture de cette brève (18h57 - 20/03/2006). Le pirate semble apprécier une faille dans la configuration de serveur Apache.
-----------------------------------------------
21.03.2006
Nous vous expliquions hier, lors de notre alerte au sujet d´une attaque phishing à destination des clients de la Société Générale, que le pirate était le même que pour l´attaque visant les clients de la BNP et du Crédit Lyonnais, la semaine derniére. En voici une nouvelle preuve. Depuis quelques heures, ce pirate s´acharne de nouveau contre les clients de la LCL. Etonnant, il a utilisé le même serveur, qu´il a préalablement piraté, hébergé chez Inside PC Room en Corée du sud. Cinq url sont employés dans cette attaque
(http://www.lcl.fr.banque.secure.mgmcomps.com/r1/c
l/ ; http://www.lcl.fr.banque.que.secure.mgmcomps.com/r1/cl/ ; ...)
A noter que ce pirate fait parti d´un groupe que nous avons tracé en russie que nous avons baptisé "R One". A noter, d´ailleurs, que ce pirate a lancé plusieurs autres phishing à destination d´une quinzaine de banques européennes comme la banque postale allemande Post Bank.
(http://banking.postbank.de.app.mgmcomps.com/r1/p/
)
Source : le journal du WaWa
Il en démord pas il rattaque LCL.