Suivre

Les historiques des achats et des résolutions de sont souvent très intéressants. Cette technique se nomme « Passive DNS ». Voici un exemple de son utilisation.

Depuis maintenant 4 ans, les chercheurs & analystes en phishing constatent des redirections vers Mediapart.

Du présent au passé.

Hier, une personne a fait l'achat au bureau EPAG (epag.de) de gouv-particuliers.fr celui-ci fût déjà enregistré en novembre 2020 et sa résolution DNS pointait chez OVH à l'adresse IP 51.210.191.155 et celui-ci rédigeait sur Mediapart. Au cours de ce même mois, sur la même IP, il a été observé l'usage et le succès d'un kit d'hameçonnage PayPal.

La première apparition d'une redirection vers Mediapart sur le service de la société urlscan GmbH créé en 2016 remonte à un passage du robot de Certstream (certstream.calidog.io) avec un horodatage fixé au 11 septembre 2020. Et cette redirection était effectuée depuis securityhelpfee.org qui à l'époque pointait chez Online S.A.S. (Scaleway) en 62.4.31.190. Cette IP quant à elle est apparut la première fois en mai 2020 sur le scan d'un kit d'hameçonnage pour PayPal sur un compte No-IP : accountupdates.ddns.net

Coïncidence ou non, 5 jours plus tôt, une URL avec le mot « malware » était scannée. Mais ici, dans tous les cas évoqués, il est question de . En apparence… Et voilà! Fin de l'histoire du jour.

Ici, notez bien que le journal @mediapart n'est pas impliqué dans ces tentatives de phishing.

Rendez-vous prochainement dans de futurs toots car les prochaines histoires vont sûrement vous ravir.

w00t c(。◕‿‿◕。)c

Inscrivez-vous pour prendre part à la conversation
nanao

Comme le soleil, les machines ne se couchent jamais.