Reprise du message précédent :

enfaitça peut être cool, je peux utiliser 2 ou tel réseaux ip en fonction de la situation

 
Pourtant tu connais HFR , t'es chiant !

On dirait un mec qui fait une tentative de phising avec un certificat qui ne correspond pas à l'adresse du site web.
 
Pour faire simple, quand tu navigues sur le oueb, les sites Internet utilisent un protocole de sécurité qui nécessite la présence d'un certificat.
 
Ce certificat est obtenu logiquement auprès d'un tiers de confiance qui valide l'adresse de ton site oueb et il y a normalement une correspondance entre le certificat présent et le site web.
 
Là ce n'est pas le cas. (Et évidemment c'est super simplifié pour que ça reste compréhensible)

Ou un certificat auto signé ^^
ou un certificat symentec post 2016.

Spour ça que j'ai précisé "auprès d'un tiers"

non mais je précisais , le tiers ca peut etre la concierge ou le service dev ^^
]edit voir Lotus ^^^^

 
Ca redirige vers.... totoubio[.]com    

 
Oui oui, j'ai bien compris le problème du certificat.  
 
Mais il se passe quoi si on va quand même sur l'adresse ?    
C'est ça qui m'intéresse. ²
Un bête histoire de scammer, une tentative pour transformer ton PC en zombie, etc. ?

Le plus probable c'est que le site d'hameçonnage t'amène sur une fenêtre dans laquelle tu transmettras ton identité et tes chiffres de carte bleue/compte en banque.

 
ah non mais je déconne pas hein    

 
tu veux dire ?
 
Non mais…

Encore un VEGAN le campedel

 
     
 
 
C'est quoi l'intérêt du truc là ?    
 
A moins qu'on n'ai pas l'alerte de certificat avec le navigateur Android de son téléphone portable ?      

toutoubio qui héberge le malware en question ?

ou alors un 0day de ouf, parce que visiblement ça a pas été le seul à recevoir le message  
https://www.virustotal.com/#/domain/ecoutevocale.com

 
Un spammer aurait trouvé une liste de 06, aurait décidé d'aller implanter un virus sur un site internet lambda, puis aurait spammé les 06 pour les envoyer sur le site pour… ?
Tout ça en loupant le certificat du lien de renvoi ?
 
Ca n'a ni queue ni tête    

sur ton malinphone ca peut passer

 
Qu'est-ce qui peut passer si on t'envoi sur le site toutoubio . com ?
 
 
Je ne comprends pas la finalité du truc.    
 

c'est pas le renvoi qui est important
c'est ce que fait la page web.
Au lieu de t'afficher ton gif de boite d'allumette, elle utilise un script pour s'installer sur ton pc un ptit malware.
qui lui va allez telecharger ses petits copains par la suite.
par une faille .

Vous voyez le mal partout, c'est juste une campagne de pub

 
Chose que l'on ne voit pas avec la méthode de p0intzer0 donc ?

j'en sais rien
il n'a pas cliqué sur le lien .

Mal faite alors.    
 
Mais bien possible.

 
Non mais le site renvoie ni JS ni download chelou ni quoi que ce soit, même avec un header android. Juste un 302.
 
Et si j'ai cliqué dessus, dans une VM.  

 
Donc une bête redirection vers le site et c'est tout.
 
Une pub pure et dure alors.    
 
Sauf que je viens de tester sur le navigateur de mon malinphone et là aussi le navigateur me lance un message d'alerte.  

 
ou un site mal sécurisé utilisé pour du spam / phishing, repiraté par d'autres équipes / robots  

Ils se sont peut-être foirés en déployant le truc, "shit happens", même chez les pirates  
 

Shit-ception

En fait, c'est pas la 1ère fois que je reçois ce type de message contenant un lien.    
 
J'efface sans suite évidemment.
 
Mais là le message d'accroche m'a fait marrer.    
 
Alors je me suis dit que les p'tits gars d'HFR sauraient certainement aller sans risque visiter l'adresse.

Et tu peux maintenant jeter ton téléphone, la NSA est sur ton dos

 
 
En tout cas, merci m'sieur dames.  

 
Oui... les antivirus (Kaspersky pendant très longtemps par exemple)

Si le serveur se fait infecter directement, alors ? Ça arrive dans le cas d'une infra normalement constituée, ça ? (ie : serveurs dédiés)

 
j'ai pas compris le ?  

Bon à savoir : certains crypto ne fonctionnent pas si la résolution DNS publique directe n'est pas autorisée sur les serveurs / postes client

résolution DNS publique, c'est à dire ?

Que les machines internes peuvent directement résoudre des dns externes.

c'est toujours pas clair, on parle de faire des requêtes vers des résolveurs DNS externes ou résoudre des noms externes ?

Pardon oui, résoudre des noms externes

ah ok. Ca se tient, après je sais pas si c'est la règle dans beaucoup d'entreprises de bloquer ça de nos jours, avec tous les services cloud.

Ça l'était dans la mienne, si t'as un proxy en place c'est une bonne pratique en effet de ne pas résoudre les dns externes

Edit :faut du cloud qui passe par le proxy

Envoyer des requêtes vers des serveurs DNS extérieurs j'imagine.