[Pharming] Credit mutuel
par  akyrion3000 | Statut : Non résolu
jeudi 20 juillet 2006 à 14:59:31 |
Voici le message diffusé par le credit mutuel pour eradiquer l'attaque dont ils sont victimes :
Ce qu'il faut faire immédiatement en cas d'infection par ce virus
Vous devez révoquer votre carte de clés personnelles puis changer votre mot de passe actuel.
En cas d'infection, le faux site étant un point de passage obligé avant de pouvoir accéder au vrai site credimutuel.fr, voici la marche à suivre précisément :
1. Entrez l'url www.creditmutuel.fr : vous êtes sur le faux site creditmutuel.fr : entrez un identifiant erroné et un mot de passe erroné
2. Remplissez les cases demandées par de fausses clés ne correspondant pas à celles présentes sur votre carte de clés personnelles
3. Après avoir validé cette grille, vous pouvez à nouveau accéder au vrai site creditmutuel.fr et y saisir votre identifiant et votre mot de passe habituels
4. Ne faire aucune opération en dehors de celles mentionnées ci-dessous.
5. Demander une nouvelle carte de clés personnelles.
Dans le rubrique "votre contrat" cliquez sur "Identification renforcée"
Cliquez sur "Commander une nouvelle carte de CLES PERSONNELLES".
6. Révoquez ensuite immédiatement votre carte de clés personnelles actuelle
Dans le rubrique "votre contrat" cliquez sur "Identification renforcée"
Cliquez "Résilier la carte de CLES PERSONNELLES".
7. Changez votre mot de passe.
-----------------------------
Mais il y a une chose que je comprends pas :
Il s'agit de pharming (attaque par dns) vu que l'ont tape l'adresse du credit mutuel dans la barre d'adresse dans la procédure d'éradication.
Ainsi il semblerait qu'une fois les informations volés le virus s'auto-détruise de lui même.
Je soupçonne donc une attaque du fichier HOST dont la ligne DNS du CM serait ensuite correctement modifié ou tout simplement supprimée(puis recrée correctement par une résolution DNS standard)
Pourquoi ne pas killer le process ou l'exe responsable ? (via un patch)
Ou alors dernière solution, c'est l'adresse DNS du CM qui a été piratée ainsi les dernières résolutions sont erronés sur les postes clients. (mais cela ne résoud pas le pb de correction de l'adresse)
Qu'en pensez vous ?
