Bonjour,

Aujourd’hui en navigant comme d’habitude, je me suis retrouvé, à plusieurs reprises, avec un nouvel onglet qui s’ouvrait automatiquement dans mon navigateur. Je précise que mon réseau est protégé avec un firewall, et que chaque machine est protégée par un antivirus (payant) à jour, et très complet. Aussi que mes mises à jour système sont faites régulièrement (windows updates, patchs de sécurité, etc...). 

Donc la fenêtre magique qui s’ouvre toute seule (début de l’URL: https://eu.insidefercgasmarketreport.xyz/9a6a2c2…. etc… je ne la mets pas en entier ici pour des raisons évidentes, mais la tiens à disposition du service technique Proximus sur simple demande).

Label de l’onglet sur le navigateur: Proximus..

Quand on regarde le certificat, on voit qu’il a été créé trèèèèès récemment, et qu’il ne s’agit pas d’un certificat Proximus, ou même d’un sous traitant classique employé pour des sondages:

Si l’on clique sur OK, puis que l’on avance dans le formulaire, on nous pose juste quelques questions. 

Et puis OH magie on arrive ici: (début de l’URL: https://eu.bglobalservicesukltd.xyz/9a6 etc… URL complète à disposition du service technique si souhaité)

Certificat…

Et donc bien entendu pour réclamer le Samsung Galaxy S20,,,, c’est magique on doit rentrer ses coordonnées. Ce que bien évidemment, je n’ai pas fait. 

On arrive alors sur une URL qui commence par https://feelingluckytoday.com/?a=23&c=20 etc…

Un autre certificat. Et autant vous dire que là, mieux vaut ne rien donner comme informations.

Bref Proximus, auriez-vous en ce moment des attaques sur vos IP clients? 

Parceque ça y ressemble. J’ai bien entendu nettoyé cache, cookies etc… et très étonnamment, je me retrouve avec la même chose sur un autre navigateur (Edge Chromium), et aussi sur une autre machine.

Comme dit, antivirus à jour. Bitdefender Total Security. Qui intègre pas mal de filtres sympas contre ce genre d’attaques… et comme par hasard…

Voilà. Pour info donc.