Au sujet de : Arnaque au phishing De fausses contraventions dans vos messageries

[Parisien_Entraide]

Scamdoc ? SURTOUT PAS

En plus ce n'est pas son mode de fonctionnement lié (pb de réactivité)

Je ne vais pas détailler sinon je vais me faire censurer du fait de termes que j'estime cependant appropriés, mais il suffit (et c'est connu depuis des années) de faire une recherche ne serait ce qu'avec le terme "Avis" derriere le mot "Scamdoc"

Ce que raconte Scamdoc c'est à prendre à titre indicatif et non comme une vérité absolue
Cela fonctionne par ex avec les sites d'arnaques connues comme le DropShipping, mais pas pour ce qui est récent et lié à la sécurité

Par contre pour ceux qui ont l'habitude il faut tenir compte des indications comme

"Le nom du site a été acquis très récemment (moins de 6 mois)"

et autres indications, mais cela ne dira pas que le site est frauduleux (testés avec pourtant de fausses adresses d'arnaques diverses)


La protection qui n'est pas garantie à 100% (cela n'existe pas en sécurité) c'est de choisir si l'on est sur PC d'une part des :

- DNS sécurisés (Quad9, AdGuard, ...
- Utiliser la protection du navigateur (En général ils utilisent l'outils google mais tout se configure sauf si on utilise ce "truc" appelé navigateur "Chrome" (il y a des alternatives sous Chromium) ou alors utiliser Firefox et là aussi se plonger dedans pour la configuration
- Bien configurer l'anti virus et firewall (y a des scripts de config et outils pour cela)
- Utiliser des modules complémentaires de type Ublock Origin avec les listes qui vont bien (et c'est le minimum)
- Bloquer les scripts dangereux (soit par le biais d'outils "accessibles" grand public comme "hardentools"
- Ne pas utiliser de WebMail mais une application dédiée à la gestion du courrier
Il est effet aberrant en 2023 de voir des sites internet qui ne bloquent pas les images distances, n'ont pas de protections spécifiques sur les scripts, etc

Ca c'est le minimum... et il faut donc agir en amont

[François38]

- Ne pas utiliser de WebMail mais une application dédiée à la gestion du courrier
Il est effet aberrant en 2023 de voir des sites internet qui ne bloquent pas les images distances, n'ont pas de protections spécifiques sur les scripts, etc

Faire exactement le contraire : ne pas utiliser de client mail lourd qui va s'exécuter dans le contexte de sécurité du compte loggé et utiliser exclusivement le webmail; ainsi le contenu potentiellement malveillant va s'exécuter dans le contexte d’isolation du navigateur.

[valioud]

Scamdoc ? SURTOUT PAS

Cela fonctionne par ex avec les sites d'arnaques connues

Donc ça fonctionne.
Evitez de raconter n'importe quoi.

ScamDoc comme beaucoup de plateformes de ce type, se base sur sa communauté pour signaler les sites frauduleux. C'est un outil très utile quand on voit le nombre de gens abusés ici.

[Parisien_Entraide]

- Ne pas utiliser de WebMail mais une application dédiée à la gestion du courrier
Il est effet aberrant en 2023 de voir des sites internet qui ne bloquent pas les images distances, n'ont pas de protections spécifiques sur les scripts, etc

Faire exactement le contraire : ne pas utiliser de client mail lourd qui va s'exécuter dans le contexte de sécurité du compte loggé et utiliser exclusivement le webmail; ainsi le contenu potentiellement malveillant va s'exécuter dans le contexte d’isolation du navigateur.

Oeuvrant dans la désinfection je peux assurer que certains infections se moquent de l'isolation
A cela on y ajoute que nombre de personne ne savent (mais ce n'est pas leur faute) que cliquer sur des icones et rien n'est configuré

Là ce que j'indique c'est dans un contexte global, et pas que pour le phishing

De plus certains Webmails sont relativement bien configurés (Mailo alias Netourrier) et d'autres pas

On a testé un nombre important de phishing, de spam avec liens malveillants etc (Mozilla thunderbird par ex) et meme si on clique, du fait que tout est bloqué en amont (Hardentools par ex agit comme un bourrin et bloque tout ce qui est malveillant pas défaut)
On peut également bloquer PowerShell, Mshta via des scripts (ou les désactiver si besoin est mais en toute connaissance de cause)

Je n'indique pas le module complémentaire "no script" qui existe également via une case à cocher dans Ublock Origin, mais en fait c'est pratiquement indispensable
Le soucis c'est qu'il faut être patient, bien configurer au cas par cas mais les gens n'ont plus la patience, et en plus il faut savoir ce qui est indispensable de ce qui ne n'est pas
C'est dommage.. C'est vraiment une brique essentielle
Je l'ai vu bloquer des scripts malveillants bien avant l'anti virus qui ne voyait rien (normal c'est sa nature par défaut)

Bref on ne peut pas faire du conseil de protection "en général".. On peut donner une base, mais après c'est selon les connaissance en informatique, de l'usage des programmes et .. sur le fonctionnement des malwares etc
Chaque cas est particulier donc

[François38]

Oeuvrant dans la désinfection je peux assurer que certains infections se moquent de l'isolation

Oui, mais a fortiori dans le cas d'un client s'exécutant dans le contexte de sécu de l'utilisateur loggé. (d'autant qu'une bonne partie des utilisateurs Windows domestiques ont la mauvaise habitude d'utiliser un seul compte avec privilège d'administration pour l'usage quotidien et pour les tâches purement administratives sur la machine; c''est d'ailleurs cela qui a contribué à la réputation de vulnérabilité parfaitement injustifiée de Windows).

A cela on y ajoute que nombre de personne ne savent (mais ce n'est pas leur faute) que cliquer sur des icones et rien n'est configuré

Oui, mais c'est valable aussi pour un client de messagerie.

Là ce que j'indique c'est dans un contexte global, et pas que pour le phishing

Euh ...oui, ca semble évident. D'ailleurs, je ne pensais pas du tout au phishing qui ne relève pas à proprement parler de la sécurité machine mais des défaillances de la couche d'interface chaise-clavier. (PEBKAC)

Bref on ne peut pas faire du conseil de protection "en général"..

A qui le dites vous .... en même temps que vous réponds je suis en train de lire un compte-rendu de pen test et je peux vous dire que le diable se cache dans les détails.

[Parisien_Entraide]

Outre le fait de tout faire avec un compte administrateur (qui est pourtant plus restrictif que le mode root de Linux et qui cache pas mal de choses surtout dans la base de registre on note également des gens avec l'UAC complètement désactivée

Alors OUI, l'UAC bla bla bla, mais ses pouvoirs sont renforcés dans les dernières moutures mais les gens sont restés sur de mauvaises habitudes en le désactivant (il est vrai aussi que cela peut devenir pénible de devoir accepter ou pas l'exécution à chaque fois qu'on clique sur un programme sans compter Defender qui fait des siennes meme pour les outils Sysinternals (qui leur appartiennent en majorité) à chaque nouvelle version

Quant aux Pen tests...
Déjà qu'avec les anciennes moutures de Windows, on pouvait TOUT savoir ou s'apercevoir de l'usage, etc du PC, mais en plus il y a de curieuses fuites vers des serveurs avec Windows, les programmes installés etc... qui n'ont pas lieu d'être (et ca va être pire avec Windows 12)
Même un simple Wireshark balance pas mal d'infos à ce sujet

Cela aide en fait pour les analyses de sécurité et vulnérabilités (pen tests)

A cela on y ajoute des zones, fichiers, qui ne sont pas accessibles meme en mode admin aux utilisateurs et comme tu dis c'est là que l'on voit que le diable se cache dans les détails
Du reste il n'est pas normal que certains progs s'octroient ces droits lors d'installation de programmes (EASUS, Razer, etc)
Les pilotes graphiques c'est normal, ils s installent à bas niveau , d'où l'usage de progs comme DDU pour tout virer (et en mode sans échec) mais pour le reste...
Ca leur permet de garder actives certaines .dll qui meme avec l'usage d'un Revo Uninstaller en version payante, qui vont continuer à communiquer à l'extérieur (télémétrie à la clé) et le tout déclenché via une clé de registre visible et accessible qu'en mode "Root'"

Idem avec les Data streams dont on peut se servir pour déterminer une infection (la liste est longue)

Mais bon, tout cela laisse des traces et c'est parfois utile pour de l'analyse forensic
(De toutes les façons y aurait de quoi écrire des bouquins en plusieurs tomes sur le sujet donc j'arrête là et en plus je suis hors sujet)

[jadis]

Euh!
merci de vous mettre à la hauteur "des gens" : )

[Parisien_Entraide]

En fait on peut se mettre à la hauteur "des gens" parce qu'on en fait partie

Le soucis et cela a été rappelé même par François38, c'est qu'il y a des solutions, des pratiques, etc mais qui ne resteront que "généralités" car il faut adapter en fonction des connaissances de chacun dans le domaine de l'informatique, de ce qu'ils font ou pas avec un ordinateur, de ce qu'ils savent sur les mécanismes d'infection, leurs connaissances sur les arnaques, et surtout de leurs (parfois mauvaises) habitudes (Et j'en oublie)

Ce n'est pas évident

En plus les gens commencent à s'y intéresser que si ils ont subi un problème, comme le fait de faire des sauvegardes une fois que le disque dur/SSD a lâché ou après une attaque de ransomware

Sur les forums spécialisés en désinfection par ex, on peut donner des conseils adaptés en rapport avec ce que l'on voit dans les logs de FRST (Farbar Revovery) d'une personne, complétés par quelques questions réponses, mais les gens ne disent pas tout et cela peut etre un problème
Ils ne vont pas se vanter par ex de télécharger des cracks en peer to peer (P2P), (même si on peut le déterminer via les logs) de regarder des vidéos en streaming etc

On peut cependant se protéger des dangers liés, majoritairement, et c'est là le soucis car il n'y a rien d'efficace à 100% (Enfin si avec Sandboxie etc mais bon, il y a des contraintes liées..)

Néanmoins j'ai des PC de tests sur XP, WIN7, WIN10, WIN11 et les seules infections que j'ai eu sont celles sur des PC non protégés/sécurisés et en plus volontairement pour des analyses (et je ne suis pas le seul dans l'équipe)
Sur les autres, RIEN ne passe