Onliner : un spambot contenant 711 millions de comptes mails compromis
mer, 30/08/2017 - 15:33
Voici une découverte de taille faite par un chercheur en sécurité qui s'identifie par le pseudonyme Benkow, un serveur de spam ou spambot, baptisé 'Onliner' et contenant plus de 711 millions de compte mails compromis
Dans son billet, Benkow commence par recenser les moyens dont les cybercriminels disposent pour envoyer du spams, opération nécessaire pour répandre des malwares. Les temps changeant, la bonne vieille méthode qui consistait à poster dans des serveurs mal configurés ou carrément en open relay ne fait plus recette. Ces serveurs sont (heureusement) de plus en plus rares, et les serveurs existants sont blacklistés depuis longtemps pour tous les outils antispams.
Reste l'envoi des mails à partir de sites dont les CMS (WordPress, Joomla,) n'est pas à jour, et donc contenant des failles de sécurité permettant d'y uploader un script PHP pour expédier les mails. Ca ça marche toujours très bien, et les cybercriminels disposent même d'outils automatisés par hacker les sites par milliers et les gérer globalement à distance.
Puis vient l'envoi directement dans des serveurs SMTP propres sur eux, mais dont les comptes de messagerie - domaine, utilisateur, mot de passe et port - sont connus.
Vous pensez peut-être que de telles données, si elles existent, ne sont pas massives ? Vous avez tort, le serveur de spam Onliner découvert, serveur qui spamme en envoyant les mails en masse à travers des comptes légitimes, détient, selon Benkom, 711 millions de données de comptes. Des données qui ont été volés ici et là sur le web, au cours de divers piratages, pour être regroupées ici. Des donnés complètes, comme le montrent les deux captures ci-dessous, qui permettent la connexion à un serveur SMTP et l'envoi de mails. Pour l'occasion, ces captures montrent aussi, hélas, que les mots de passe faibles restent une mauvais pratique persistante.
Benkow dit travailler avec les autorités afin de parvenir à débrancher le serveur Onliner qui est situé aux pays-Bas. Parallèlement, il a communiqué les données compromises à Troy Hunt, un chercheur en sécurité connu pour gérer le site 'Have I been pawned' qui permet de savoir si vos données personnelles ont été compromises. Allez y faire un petit tour, des surprises vous y attendent :-)
Si vous y apparaissez, ce n'est pas forcément une catastrophe. Peut-être, depuis le moment où vos données ont été volées, avez-vous changé votre mot de passe. Si oui c'est ok. Si non, il faut le faire d'urgence. Et bien sûr en choisissant un mot de passe fort !
Plus généralement, cette découverte de Onliner devrait inciter chacun à changer ses mots en passe pour l'occasion.