Le Blog Utux

HTTP 200 GET /

Une arnaque à la carte vitale qui redirige vers Mediapart ?

Rédigé par uTux 2 commentaires

Petite curiosité, j'ai reçu ce matin un SMS m'informant que "ma carte vitale va expirer" avec un lien totalement bidon. Alors que j'étais en train de le signaler au 33700, j'ai remarqué que mon iphone m'affichait un aperçu du fameux site, qui n'était autre que mediapart.fr. Diantre, pourquoi un SMS d'anarque contiendrait-il un lien vers mediapart ? Quel est le but ?

Pour continuer disons que l'url bidon était "phishing-cpam.help" et faisons un petit curl:

curl https://phishing-cpam.help/ -I

Aperçu de la réponse:

HTTP/2 302 
server: nginx
[...]
location: https://www.mediapart.fr/
x-powered-by: PleskLin

En effet, il y a bien une redirection vers Media part. Mais que se passe-t-il si je demande à curl de m'identifier en tant que téléphone Android ?

curl https://phishing-cpam.help/ 
-A "Mozilla/5.0 (Linux; Android 10; SM-G996U Build/QP1A.190711.020; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Mobile Safari/537.36" 
-I

Tadaaaam !

HTTP/2 302 
server: nginx
[...]
location: ./pages/billing.php
x-powered-by: PleskLin

Cette fois nous sommes redirigés vers une page qui, d'après son nom, doit être un formulaire de paiement.

Conclusion : Cette redirection vers Media Part sert donc à cacher le site frauduleux qui est conçu pour n'opérer que depuis certains mobiles, et passer inaperçu sur PC.

Bon à savoir :

  • Ces sites frauduleux sont mis en ligne par des petites racailles qui n'y connaissent rien en informatique mais qui ont acheté des packs tout prêts sur le darknet. Ils n'ont plus qu'à le dézipper sur un hébergement mutualisé afin de mettre en ligne l'arnaque, et configurer un token pour avoir une notification sur Discord/Telegram quand une victime se fait avoir.
  • Avec vos informations de carte bleue, ils ne peuvent pas forcément faire de paiement à cause de la double authentification. Vous avez donc de fortes chances d'être contacté par une "alloteuse" qui va se faire passer pour un conseiller bancaire ou un agent de lutte contre la fraude. Elle va vous demander de valider une notification 2FA pour soit disant "vous rembourser" (en vrai c'est tout l'inverse, vous allez accepter le paiement).

Liens :

2 commentaires

#1  - mathdatech a dit :

Salut, j'ai eu le même, et j'ai aussi fait la manipulation, mais sur Firefox+linux, firefox+windows et chomium+linux, ça redirige aussi vers Mediapart. Par contre, sur Windows+chrome, ça redirige vers le site de phishing

Répondre
#2  - uTux a dit :

Ah oui, bien vu.
Je soupçonne que le but est surtout d'échapper aux différents robots qui scannent le web pour trouver ce genre de faux site.

Répondre

Écrire un commentaire

Quelle est le troisième caractère du mot r0xz8aiv ?