[Compte piraté] Ca se pète, des genoux numériques ?

mr-popo · Juin 15, 2013, 7:35

Hello TT

Une fois n’est pas coutume, je viens poster dans la section vous dites. Imaginons (pure spéculation) qu’un TTcien lambda ait un compte en banque avec ses p’tites économies. Il a sa p’tite famille, pépère, il fait gaffe à ses mots de passe et à ses pépettes. Normal, quoi.

Jusqu’ici, rien de bien folichon. Mais imaginons qu’un beau matin, il trouve sa ligne téléphone déviée vers un mobile, sa messagerie web bloquée, et son compte en banque vidé. Inimaginable, hein ? Vous enflammez pas, je spécule, hein.

Et supposons (encore plus fou) que le vidage de compte ait laissé des traces, genre un nom et un IBAN… et que la déviation de ligne ait laissé un n° de mobile dans les paramètres FAI… fou, hein ? Spéculation, mes braves, pure hypothèse.

A partir de là, spéculons gaiement : au delà de l’évidente nécessité de porter plainte en gendarmerie et de voir avec sa banque, que pourrait-on conseiller à ce supputatif et malchanceux usager ? Imaginons un instant que d’autres usagers, plus compétents que lui en matière d’informatique, soient prêts à faire 2-3 recherches (hypothétiques, bien sûr), voire à péter une paire de genoux numériques… serait-il pure science-fiction que d’imaginer un possible rendage de service à base de sympathie TTcienne ?

Ca s’pourrait, ça Hein, dis m’sieur

jeremie · Juin 15, 2013, 8:11

Péter des genoux numériques précis, c’est pas toujours facile… enfin ca finit par se faire, mais c’est parfois long (bon ok si tu arrives à convaincre quelqu’un qui a une zero day remote je dis pas… il se trouve qu’il y a une méchante zéro day windows non corrigée en ce moment mais sans accès distant). Bon évidemment je ne parle pas des ennuis qui peuvent aller avec à base de justice soi-même qu’on a pas le droit.

Le truc efficace pour pas cher en info en c’est d’avoir une attaque et de chercher les personnes vulnérables (bref chercher à péter un genou au hasard).

Edit: je parle de pétage de genoux dans les règles avec séquelles, pas juste de caresses à base de déni de service…

mr-popo · Juin 15, 2013, 9:03

A défaut, si on est joueur, on peut aussi se relayer pour appeler en boucle le numéro de mobile que le type a laissé. Ca peut être bien pénible comme il faut, j’imagine.

thot · Juin 15, 2013, 9:09

Hello

Évite quand même la commission d’infractions à titre de “vengeances” tel que le harcèlement téléphonique (appels téléphoniques malveillants réitérés ou agressions sonores en vue de troubler la tranquillité d’autrui).

Je ne peux que conseiller de laisser les forces de l’ordre faire leur boulot, le détournement de correspondance et le piratage de compte bancaire étant des infractions. La police et la gendarmerie devraient gérer correctement l’affaire.

tt-46718dd32691ae4ded1837f47c75d4b6 · Juin 15, 2013, 10:58

Je ne peux qu’abonder dans le sens de Thot.

Et à titre d’information, les peines encourues pour pétage de genou virtuel n’ont, elles, rien de virtuelles : 3 ans et 45.000€ si l’intrusion vise à supprimer/modifier des données.

mr-popo · Juin 15, 2013, 11:05

Pétard, ça me démange pourtant, t’imagines pas… m’enfin bon, on va compter sur la diligence des forces de l’ordre et sur l’efficacité des assurances. En espérant ne pas découvrir de nouveaux débits d’ici lundi (mais je suis pessimiste, il semblerait qu’un virement supplémentaire ait été fait quelque part entre hier soir et ce matin… et un maousse, en plus).

thot · Juin 15, 2013, 11:20

Si, si j’imagine.

Tu peux aussi voir avec la banque pour récupérer tout l’argent disparu et sécuriser un peu plus les prochains mouvements bancaires des prochains jours.

jeremie · Juin 15, 2013, 11:28

Bon par contre, il s’agit de savoir comment c’est arrivé :
- Soit tu avais un mot de passe un trop facile par rapport à ton nom/ enfants / infos trouvables sur toi sur le net => à mettre à jour et à ne pas recommencer
- Soit ce n’est pas le cas et il faut comprendre comment c’est arrivé. Vol d’ordinateur avec sessions ouvertes ? Spyware ? Login sur un ordinateur “public” ?

mr-popo · Juin 15, 2013, 11:50

Pour tout ce qui est sensible, j’ai des MDP assez sûrs mélangeant toutes sortes de caractères. Je suis vigilant au phishing et toussa, ce qui me fait penser que ça ne peut venir que d’une connexion extérieure (c’est de ma messagerie FAI que c’est apparemment parti)… je ne laisse pas mon smartphone accéder aux wifi publics, par contre il m’est arrivé de me loguer au boulot pour vérifier mes mails.

Je pense que ça vient de là. Les ordis des écoles primaires sont notoirement mal protégés, vérolés de toolbars à la con et jamais passés à la maintenance (rarement à l’antivirus). Possible que l’un d’entre eux avait une saloperie dormante qui a chopé mon login/mdp FAI. Par contre, pour les identifiants bancaires, je ne comprends pas… jamais aucun accès ailleurs que chez moi, MDP à la souris, aucune transmission à qui que ce soit. Je ne comprends pas.

Il y a certainement eu via le FAI la possibilité de récupérer le n° de compte et l’établissement bancaire. Mais pour choper les identifiants de connexion, alors là, mystère. Mon antivirus est toujours à jour, les analyses sont régulières, je pense qu’un trojan ou un keylogger aurait été repéré… non ?

Bref, c’est au-delà de ma compétence.

jeremie · Juin 15, 2013, 11:57

Quel était le processus de récupération de mot de passe oublié de la banque ?

Une fois le mail principal découvert, c’est souvent un excellent point d’entrée pour la suite des opérations. Par exemple en demandant par mail au conseiller financier une modification du téléphone de référence (qui se méfie pas assez car a l’habitude des mails ce cette adresse), puis ensuite ca roule tout seul…

edit: les trojan/keyloggers s’ils ne sont pas bloqués à l’installation peuvent se cacher assez efficacement des anti-virus. Souvent ils bloquent la mise à jour des anti-virus. Un moyen assez efficace de les détecter est de faire un scan depuis une autre machine.

mr-popo · Juin 16, 2013, 12:18

Le MDP de la banque n’a pas été oublié. Il fonctionnait bien et n’avait pas changé, ce qui justement nous a permis de constater ces virements cet après-midi.

C’est au niveau du FAI que ça a merdé : j’avais repéré un truc louche en voyant un mail reçu sur mon smartphone disparaître de la liste… ordinairement, ça n’arrive que lorsque les mails sont rapatriés du serveur sur ma machine “fixe”, soit en fin de journée. Là, à 10h du matin, j’ai trouvé ça bizarre… D’autant plus qu’ensuite, plus moyen de me connecter avec mes identifiants, aussi bien sur le mobile que le portail. Et apparemment, le type en a profité pour demander un renvoi d’appel de ma ligne fixe vers un mobile tiers… ce qui fait que les appels n’arrivaient pas chez moi. C’est pour le moins perturbant, cette impression d’avoir un type chez toi, en quelque sorte… il prend tes appels, utilise tes mails, et vide tes comptes par-dessus le marché. Tranquille, quoi.

Maintenant, j’ai un n° de mobile ainsi qu’un nom et un IBAN. Peut-être le type est-il assez con pour avoir utilisé ses infos réelles, mais j’en doute (quoique le mobile, quelqu’un décroche, écoute, et raccroche). Pour le nom associé au compte dont l’IBAN apparaît, c’est peut-être d’un prête-nom, volontaire ou pas… une autre personne piratée, peut-être ? J’en saurai plus lundi avec ma banque.

Quant au problème des malwares, franchement, là c’est au-delà de ma compétence. Maintenant, le fait que le MDP de la banque soit tapé avec la souris, sur un clavier changeant d’une connexion à l’autre, ça ne suffit pas à contrer les keyloggers ? Autant je peux imaginer que le n° d’usager ait été récupéré dans la mémoire du navigateur, autant pour le MDP, je suis perplexe.

jeremie · Juin 16, 2013, 12:36

Un keylogger récupère classiquement les frappes du clavier.
Avoir les mouvements de la souris est quasiment la même chose.

Frapper le mot de passe à la souris “protège” sauf si le keylogger prend une capture écran chaque fois qu’il détecte une connexion sur un site “intéressant”

Au final c’est bien sur un peu plus compliqué (liste des sites intéressants, un poil plus de bande passante), mais pas impossible du tout ni même plus difficile techniquement. La le mec a l’air d’être exprès en train de viser ton compte. Du coup il est même possible qu’il avait en temps réel des copies de ton écran (genre il était à coté de toi pendant que tu étais sur la machine).

Reste à savoir si elle est infecté ou pas. Vu ce que tu dis, j’ai tendance à penser que oui. Peut-être via une saleté envoyée par mail à un moment donné.

mr-popo · Juin 16, 2013, 12:49

J’ai noté ces 4-5 derniers jours une nette réduction de mon débit. Pas forcément en chiffres (faute d’éléments de comparaison, je suis incapable de juger des données affichées par l’ordi sur ce point), mais en termes d’usage : youtube qui met des plombes à se charger, DL depuis le cloud plus laborieux…

J’ai mis ça sur le compte de fichiers volumineux pour l’un, et d’un défaut de mise à jour de java ou de la carte graphique pour l’autre… MAJ effectuée, aucun changement, j’ai laissé tomber. Peut-être était-ce ce dont tu parles ??

Maintenant, comment faire pour savoir si ma machine héberge un logiciel espion ? Comment être certain d’avoir quelque chose de propre pour ne pas me faire barboter les nouveaux identifiants ?

jeremie · Juin 16, 2013, 1:05

Si tu veux être vraiment certain, il faut tout réinstaller.

Sans être aussi extrème, un scan en ligne d’antivirus peut parfois aider (idéalement démonter le dd et scanner avec une autre machine ou bien en utilisant un disque de secours).

Tu peux auxx passer un coup de “hijack this” en lode log pour avoir une liste de logiciels qui démarrent automatiquement. Après la lecture du log n’est pas toujours facile

Edit : un scan des connexions entrantes et sortantes peut aider aussi (wireshark par exemple)

mr-popo · Juin 16, 2013, 1:20

Houlà, j’ai pas tout compris, mais je regarde du côté d’une analyse en ligne.

C’est quoi, “hijack this” ? et un “lode log” ?

jeremie · Juin 16, 2013, 8:43

erreur de typo : mode log

et hijack this est un petit logiciel qui scanne quelques point stratégiques de la machine, mais sans faire l’analyse lui même.

http://sourceforge.net/projects/hjt/

et pour aider à analyser les logs (le compte rendu produit):

http://www.hijackthis.de/fr

mr-popo · Juin 16, 2013, 8:55

Hello

J’ai lancé hijack this et j’ai obtenu un fichier txt assez… dense.

Je regarde pour l’interprétation…

Edit- le programme a relevé des occurrences bizarres. Est-ce que je peux t’envoyer ces infos par mail pour interprétation ?

biskuit · Juin 16, 2013, 11:26

Et l’intrusion ne pourrait elle pas venir du téléphone mobile, via une application vérolée ?

mr-popo · Juin 16, 2013, 12:08

Chais pas. J’ai très peu d’applis, et comme c’est un univers que je connais mal, je n’installe que ce qui a reçu une très bonne moyenne. En cas de doute, j’évite. Mais pour ce que j’y connais…

Edit- le scan en ligne vient de s’achever (le 2e, par sécurité). Comme le premier, il ne révèle rien d’anormal.

jeremie · Juin 16, 2013, 2:44

C’est quand même surprenant. Le piratage semble avoir commencé par ta boite mail (et ca on soupçonne un ordi vérolé de l’école), mais cela n’explique pas la découverte de ton mot de passe “banque”.

Tu n’aurais pas fait une connexion à ta banque depuis l’école par hasard ? La procédure mot de passe oublié réinitialise le mot de passe ou le renvoie (la 2e option m’étonnerais bcp venant d’une banque) ? As tu eu un jour un genre de “plantage” du net pile au moment ou tu te connectes à ta banque ? As tu déjà cliqué sur un mail pour te rendre sur le site de ta banque au lieu de taper l’adresse ? Utilises tu un favori de chrome modifiable depuis ton interface gmail ? (cette dernière option serait assez subtile, modification de ton vieux favori dont tu ne te méfie pas en site de phishing)