Question

ATTENTION : tentative de fishing (rapport documenté)


Niveau d'utilisateur 2

Bonjour,

 

Aujourd’hui en navigant comme d’habitude, je me suis retrouvé, à plusieurs reprises, avec un nouvel onglet qui s’ouvrait automatiquement dans mon navigateur. Je précise que mon réseau est protégé avec un firewall, et que chaque machine est protégée par un antivirus (payant) à jour, et très complet. Aussi que mes mises à jour système sont faites régulièrement (windows updates, patchs de sécurité, etc...). 

 

Donc la fenêtre magique qui s’ouvre toute seule (début de l’URL: https://eu.insidefercgasmarketreport.xyz/9a6a2c2. etc… je ne la mets pas en entier ici pour des raisons évidentes, mais la tiens à disposition du service technique Proximus sur simple demande).

 

Label de l’onglet sur le navigateur: Proximus..

 

Quand on regarde le certificat, on voit qu’il a été créé trèèèèès récemment, et qu’il ne s’agit pas d’un certificat Proximus, ou même d’un sous traitant classique employé pour des sondages:

 

Si l’on clique sur OK, puis que l’on avance dans le formulaire, on nous pose juste quelques questions. 

 

Et puis OH magie on arrive ici: (début de l’URL: https://eu.bglobalservicesukltd.xyz/9a6 etc… URL complète à disposition du service technique si souhaité)

 

Certificat…

 

Et donc bien entendu pour réclamer le Samsung Galaxy S20,,,, c’est magique on doit rentrer ses coordonnées. Ce que bien évidemment, je n’ai pas fait. 

 

On arrive alors sur une URL qui commence par https://feelingluckytoday.com/?a=23&c=20 etc…

Un autre certificat. Et autant vous dire que là, mieux vaut ne rien donner comme informations.

 

Bref Proximus, auriez-vous en ce moment des attaques sur vos IP clients? 

 

Parceque ça y ressemble. J’ai bien entendu nettoyé cache, cookies etc… et très étonnamment, je me retrouve avec la même chose sur un autre navigateur (Edge Chromium), et aussi sur une autre machine.

 

Comme dit, antivirus à jour. Bitdefender Total Security. Qui intègre pas mal de filtres sympas contre ce genre d’attaques… et comme par hasard…

 

 

 

Voilà. Pour info donc.


7 commentaires

Niveau d'utilisateur 7
Badge +4

Bonjour @Cyril 6700 ,

 

J’ai fait remonter l’ensemble à notre team de sécurité informatique.  Merci pour ces détails ! :) 

Niveau d'utilisateur 2

Justement, il y a un domaine, un CA, une IP...

Badge

Bonjour,

Je crois aussi que le bloqueur de pub est une solution.

En effet,il y a 2 semaines, je naviguais sur un site de Bourse  quand il m’a demandé de déconnecter AD Bloc+

Après avoir fait cela, un onglet s’est ouvert m’offrant un Samsung S20 gratis, de la part de Proximus . Méfiant, j’ai fermé la fenêtre  mais elle se réouvrait sans cesse.  J’ai fait un démarrage sans erreur, fait tourner mon scan Avast et 3 autres antimalware.  Tout çà pour mettre un fichier en quarantaine.  Ensuite je sui retourné sur mon site boursier, qui ne m’a plus demandé de couper ADBloc et tout était rentré dans l’ordre.

ajouter un bloquer de pub et l’affaire sera faite.

Les ISP ne savent rien faire a cela.sans ip ou entête de la page.

Niveau d'utilisateur 2

Ok, pas nouveau, mais pas corrigé non plus depuis que cela avait été signalé il y a 1’ mois. Il y a des outils pour prévenir ce genre de choses au niveau des ISP. Au pire si ce sont des IP Proximus qui sont ciblées, il suffit d’activer un VPN. Je vais bien voir si l’ajout dans la blacklist de mon filtre internet en amont des machines va avoir un effet. J’ai aussi signalé cela chez Bitdefender pour confirmer qu’il ne s’agit pas d’une page suspecte mais bien d’une page dangereuse. 

 

Bonjour,

Ce n’est pas nouveau:

https://fr.forum.proximus.be/internet-10/petite-publicite-embetante-51287

 

Niveau d'utilisateur 2

Et ça continue. Je viens de bloquer la page au niveau de mon FW...

Commenter