Etrange tentative d'hameçonnage NCSoft.

Répondre
Partager Rechercher
Bonjour,

J'ai reçu tout un tas de ce qui ressemble fortement à des emails de phishing entre le 25 avril et aujourd'hui, relatif au jeu Aion de NC soft :

Citation :
"secure@ncsoft.com" <secure@ncsoft.com>
...

When you receive this message at the same time means that you have a routine account of our recent examination, was checking your account we have the evidence to prove that involved in the controversial game currency transaction so we had to take the necessary measures.
Please visit our web site (...) as soon as possible to activate your account or we will suspend your account.

The NCsoft Team
Citation :
Vérifiez le risque pour la sécurité, ils ont trouvé un risque de sécurité pour votre compte peut avoir été compromise, le compte a été verrouillé! Si le compte est à vous, s'il vous plaît visitez-vous à (...) d'authentification, si vous n'avez pas d'authentifier, le compte sera définitivement fermé!

Nous espérons vous voir!

- NCsoft's Team
Intrigué, j'ai fait une recherche sur ce forum, et j'ai peut-être mal cherché mais je n'ai trouvé que des topics relatif à cette tentative de hameçonnage sur le forum Aion, où des types s'énèrvent à coup de "fallait pas laisser votre email comme un gros teubé sur fessebouc".

Sauf que.

Là où la situation se complique c'est que j'ai reçu ces emails sur 11 boites mail différentes, toutes les 11 et sans aucune exception ayant été créées et utilisées exclusivement comme email de référence pour des comptes de forum.

Tout d'abord 10 emails pour 10 comptes JoL (je vais bientôt ouvrir un club de foot) ce qui laisse penser à une fuite de base jolienne.

...et la limpidité se trouble quand j'ajoute que j'ai également une boite email utilisée pour un compte MondesPersistants qui a été touchée, le même jour que mes boîtes JoL.

Je ne connais Aion ou NC Soft ni d'Eve ni d'Adam. J'insiste sur le fait que ces boîtes mail n'ont jamais servies à rien d'autre que de recevoir un mail d'activation de compte forum : ni à s'inscrire ailleurs, ni à envoyer des mails. De plus ces boites concernent plusieurs fournisseurs de service mail et aucune de mes autres très nombreuses boites email n'a été touchée, j'écarte donc d'emblée le problème client.

Le seul dénominateur commun entre JoL et MondesPersistants, au delà de leur thème, me semble être la technologie du forum. Faille vBulletin ?
Je viens de voir que 3 autres de mes boites emails de compte JoL avaient été touchées, mais elles étaient passées en spam. Je n'ai pas fait d'état des lieux exhaustif de tous mes comptes mais j'ai la vague impression qu'ils ont tous été touchés.

J'ai eu une boite @JeuxOnLine à une époque mais elle est morte et enterrée dans l'arrière cour du bar La vérité est ailleurs.
C'est un crawler qui récupère les adresses affichées en clair dans les profils Jol.
Il n'y a pas de faille, de ventes de données ou quoi que ce soit, juste un robot qui enregistre tout.
Inscrivez-vous avec un email vierge, cachez l'adresse dans votre profil Jol et vous verrez qu'il n'y a aucun problême de leaking.
Citation :
Publié par Tzioup
Inscrivez-vous avec un email vierge, cachez l'adresse dans votre profil Jol et vous verrez qu'il n'y a aucun problême de leaking.
La démarche que tu présentes ne permet pas de conclure à quoi que ce soit.
Et il n'existe pas d'option pour cacher l'adresse dans le profil, à quoi fais-tu référence ?
Citation :
Publié par Fugo
on en a aussi avec blizzard
Oui mais c'est pas important que ce soit NCsoft ou Blizzard, il n'y a que quelque rageux qui accusent NCsoft d'être responsable du leak. C'est évident que ça ne viens pas d'eux pourtant. J'ai lu sur les forums de MP qu'ils avaient été victime d'une attaque au moment ou ils ont eu des problèmes de serveurs il y a quelques semaines. Ça viens peut être de là. Mais c'est clair que pour récupérer des courriels de joueurs, attaquer des réseaux de jeux vidéos (jol, mp, mais aussi les mmorpg.com, massively etc.) c'est une bonne technique. Je serais presque admiratif si ça ne spammait pas ma boite.


EDIT : pendant j'y pense : si vous recevez un courriel en anglais ou en mauvais français de la part de NCsoft, c'est directement à la poubelle. Ils s'adressent en français à leurs joueurs francophones (à moins que vous ayez un compte US)
En ce début d'année, j'ai nettement renforcé la sécurité autour du traitement des adresses mail sur JOL (plus personne dans les équipes JOL ne peut accéder à ces informations (même les superviseurs de la modération), un webmestre mal intentionné ne peut plus accéder aux emails, certaines fonctions qui dévoilaient l'email comme les alerte à modérateur ne les dévoilent plus, etc.). Pour autant, on est jamais à l'abri d'une faille de sécurité de vBulletin, de PHP, etc. qui pourrait permettre de contourner toutes ces mesures. Et il reste toujours des endroits où les adresses emails circulent (lors d'un envoi de mail via les forums par exemple).

Il y a qq mois, je me suis créé un petit système d'alerte en ajoutant des adresses "pièges" de compte fake dans notre base pour être prévenu si jamais un email leur était envoyé (ce qui serait un signe d'une faille de sécurité qq part). J'ai besoin d'adresses "fraiches" dans notre base de données pour pouvoir déterminer s'il existe un problème de fuite qq part (plus une adresse est ancienne, plus elle a pu être exposée à des risques au fil du temps, failles diverses de PHP, de vBulletin, malvaillance humaine, etc.).

Plus généralement, vu le développement des spammeurs de ce type et des attaques en tout genre sur le web des spammeurs pour gonfler leur bases d'adresses, je réfléchis à comment sécuriser davantage les adresses mail que nous stockons, pour les rendre inexploitable en cas de faille de sécurité (par exemple, en attribuant à chaque jolien une adresse mail JOL poubelle qui redirige vers son email d'inscription, qui ne seraient plus stockée dans une base de donnée accessible à vBulletin mais dans une base isolée, avec un cryptage des données, etc.), de sorte à ce que vBulletin ni PHP ni Apache, etc ne puisse avoir accès aux adresses réelles des joliens. Et de pouvoir désactiver ces emails poubelles "pare-feu" si jamais elles étaient un jour compromises. Mais ça présente certaines difficultés d'interaction avec vBulletin (par exemple pour des fonctions comme la récupération d'un mot de passe à partir de son email d'inscription, le renvoie des codes d'activation, etc.).
Qu'en est-il des identifiants MSN qui correspondent très souvent à des adresses de courriel utilisées et qui sont affichés en clair dans les profils de (nombreux ?) membres ?
C'est d'ailleurs peut-être à cela que Tzioup faisait référence.
(Mais ça ne serait de toutes façons pas lié au problème décrit par Munak, car j'ai reçu les mêmes étranges courriels et je n'ai jamais rempli cette case.)

Je trouve très intéressantes les démarches que tu décris dans tes derniers paragraphes, j'espère qu'on en saura davantage si ça se développe ou si ça se met en place.
Citation :
Publié par Tzioup
C'est un crawler qui récupère les adresses affichées en clair dans les profils Jol.
Il n'y a pas de faille, de ventes de données ou quoi que ce soit, juste un robot qui enregistre tout.
Inscrivez-vous avec un email vierge, cachez l'adresse dans votre profil Jol et vous verrez qu'il n'y a aucun problême de leaking.
Sauf qu'il y a pas mon adresse mail en clair et j'ai reçu plein de mails de ce type aussi. Sachant que je ne joue plus à un jeu ncsoft je m'en fous un peu. Mais ça m'inquiète plus que la bdd jol ait une fuite.
Citation :
Publié par Fioana²
Mais si ça commence à le faire aux utilisateurs là.. :/
Ca fait déjà quelques mois que ma boite spam se fait mail a gogo de truc de NCsoft, Blizzard and co.
Citation :
Publié par Jactari
Qu'en est-il des identifiants MSN qui correspondent très souvent à des adresses de courriel utilisées et qui sont affichés en clair dans les profils de (nombreux ?) membres ?
C'est d'ailleurs peut-être à cela que Tzioup faisait référence.
(Mais ça ne serait de toutes façons pas lié au problème décrit par Munak, car j'ai reçu les mêmes étranges courriels et je n'ai jamais rempli cette case.)

Je trouve très intéressantes les démarches que tu décris dans tes derniers paragraphes, j'espère qu'on en saura davantage si ça se développe ou si ça se met en place.
Mon log MSN est affiché en clair, mais je ne reçois jamais ces mails sur ma boite MSN ... je ne les reçois que sur mon adresse perso enregistré sur mon compte (et que j'affiche pas).
Perso j'ai pas reçu de message de phishing de quelque nature que ce soit, sur aucune de mes adresses liées a des comptes JOL...
Et ce depuis que je suis sur JOL (en ayant toujours les infos mail/msn de caché).

Si c'est juste un bot a la con il devrais tout prendre ...

Edit: Ah si j'ai rien dit j'ai aussi eu les messages (classé en indésirable) (bien que jamais allé sur la section aion, ni même joué a ce jeu)

Edit: Tiens, ma boite poubelle hotmail qui me sert jamais a été hack et sert a spam :/ Elle mail depuis le 19/3 si ca peut aider a voir ou ya eu le soucis.
Elle spam que du phishing wow ces derniers temps.
Citation :
Publié par Hrunh
Mon log MSN est affiché en clair, mais je ne reçois jamais ces mails sur ma boite MSN ... je ne les reçois que sur mon adresse perso enregistré sur mon compte (et que j'affiche pas).
peut être que c'est la redirection en @JoL qui fait ça
Citation :
Publié par Tzioup
C'est un crawler qui récupère les adresses affichées en clair dans les profils Jol.
Il n'y a pas de faille, de ventes de données ou quoi que ce soit, juste un robot qui enregistre tout.
Inscrivez-vous avec un email vierge, cachez l'adresse dans votre profil Jol et vous verrez qu'il n'y a aucun problême de leaking.
A ma connaissance aucun de mes comptes Jol n'a dans son profil un Email visible (et encore heureux, on n'est plus au moyen âge). Comme je l'ai dit tous ces mails étaient vierges.

Citation :
Publié par Whinette
Ce n'est pas forcement un problème de fuite, si ton adresse est Munak@gmail.com par exemple, les bots vont tester le nick avec tous les webmail connus. Et les nick approchant...
Mes adresses emails sont relativement compliquées, la majorité contiennent des mots qui n'existent pas, et qui ne sont pas utilisés dans le nom des comptes JoL. En aucun cas un robot ne pourrait les trouver aléatoirement. Si une boite comme munak@jeuxonline.info avait eté la seule touchée je ne dis pas, mais pour un munakjol.aamalbla@laposte.net (invention fantaisiste) ça devient hautement improbable, et si maintenant tu considères le fait que ce n'est pas un seul compte, mais intégralité de mes 16 comptes JoL qui ont été touchés (j'ai finalement réussi à faire l'inventaire), repartis chez plusieurs prestataires mail, je te laisse calculer la probabilité de réussir un tel miracle. Gagner le jackpot euromilion, à coté c'est une partie de plaisir. J'ai eu à une époque une adresse mail naïvement trouvable (imagine un sun@laposte.net et tu touchera de prêt la vérité) donc depuis je prends mes précautions, je sais faire la différence entre du spam aléatoire et du spam ciblé.

North', pour ma part je ne crois pas me souvenir d'un autre spam sur une boite JoL en presque 10 ans, comme quoi tout est possible.

Je viens de lire ton message Mind, merci pour ces précisions, il est rassurant de voir que tu t'y intéresses de prêt, quand on voit le nombre de sites Web qui se font avoir, ça fait peur.

Dans ce cas précis certaines de mes adresses ont été crées et affectés à des comptes JoL en septembre dernier. A quelques exceptions prêt elles n'ont jamais reçu le moindre mail de JoL (type notification de réponse) en dehors de l'email initial. Ceci dit, le fait qu'MP ai été aussi touché est intéressant : cela exclue la fuite depuis des sur-couches développées en interne, la piste d'indélicats ayant un accès software ou physique aux serveurs (ou alors une personne étant dans le staff des deux sites), en un mot cela réduit les pistes à vos points communs de plateforme logiciel, j'avais pensé au vB mais c'est vrai que c'est plutôt réducteur, entre les OS et leurs nombreux composants, les serveurs web, bases de données, langages de dev... le choix est vaste.

Bonne chance !
J'ai également reçu le mail du support Aion alors que je n'y ai jamais joué ni visité leur site.
Pas à l'adresse que j'utilise sur JOL, mais à mon adresse boulot.

Si c'est lié au fait que j'ai fait partie du staff, j'ai effectivement utilisé cette adresse pour JOL durant 1 mois il y a 2 ans environ.
Citation :
Publié par Munak
mais intégralité de mes 16 comptes JoL qui ont été touchés
Simple question : Tu fous quoi avec 16 adresses mail et tu fous quoi avec 16 comptes JOL
piste peut-être intéressante :

mon adresse qui m'a servi à créer mon compte jol il y a une éternité de cela, sur laquelle je continue de recevoir les notifications de connexion de jol et les alertes de nouveaux mps a été victime de ce spam.

par contre, mon adresse de redirection @JeuxOnLine.info (qui n'est pas la même) n'a pas été touchée.

(j'ai jamais joué à aion)
Concernant les liens je les avais altérés en virant des morceaux, et j'avais coché la case pour ne pas interpréter les liens mais l'édition de Cetrix a du les réactiver. Je les ai virés.

- 16 comptes JoL ? Beaucoup de jeux, donc de personnes de jeux, de schizophrénie, de délires de forum... Presque 10 ans de JoL ça laisse le temps. D'ailleurs en faisant le tri j'ai vu que j'en avais 17 mais que l'un s'était visiblement fait effacer, je me demande bien pourquoi.

A quoi ça sert ? Aujourd'hui plus à rien je te l'accorde, je ne me sers plus que de 2 ou 3 comptes selon mes humeurs.

- 16 emails ? C'est quoi ça, 5% de mes boites mail...

A quoi ça sert ? Ça sert à avoir un alias mail par compte web ce qui me permet d'identifier les fuites de coordonnées mail, puis d'éliminer une boite mail spammée en 3 clics en la recréant avec un nom différent. Par exemple tous les 6 mois je me recrée un email Pixmania, number one du top des fuites de base. Ça me prends 30 secondes de plus quand je m'inscris sur un site, mais quelle tranquillité d'esprit ensuite.
Ca peut être aussi ton fournisseur d'adresse mail qui les revends
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés