Si vous utilisez Skype, vous avez peut-être reçu récemment du spam sur les liens Baidu de certains de vos contacts.
Lorsque vous cliquez sur ces liens, vous vous retrouvez sur de faux sites d’information avec des articles sur un nouveau médicament miracle qui pourrait vous aider à perdre du poids ou à doubler votre QI.
Cependant, vous vous demandez peut-être ce que Baidu* a à voir avec cette escroquerie.
Après tout, Baidu est le moteur de recherche chinois le plus populaire (presque comme Google pour le reste du monde) et il ne devrait pas être impliqué dans des escroqueries.
*Rappel, Baidu est le numéro 1 des moteurs de recherche en Chine
Pages de redirection de Baidu
Il s’avère que les mauvais acteurs abusent des résultats de recherche de Baidu.
Au lieu de créer des liens directs vers des pages web, Baidu utilise des liens vers des pages de redirection interstitielles.
Celles-ci indiquent à Baidu quels liens ont été cliqués dans leurs pages de résultats de moteur de recherche (SERP) et peuvent aider à améliorer le classement de la page. Vous pouvez déjà reconnaître ce comportement lorsque vous cliquez sur un lien dans les SERP de Google, puisqu’elles utilisent une redirection similaire.
Utilisation abusive des pages de recherche interstitielle sur Skype
Dans la campagne Skype, les escrocs abusent de ces pages interstitielles Baidu.
Pour ce faire, ils:
- Font en sorte que Baidu indexe les sites malveillants.
- Font une recherche sur Baidu pour trouver leurs liens malveillants dans le SERP.
- Depuis le SERP, copiez les liens vers les pages interstitielles de Baidu.
Cette simple astuce permet aux escrocs de disposer d’un nombre illimité de liens Baidu malveillants qui ne peuvent être mis sur liste noire.
Personne ne mettra sur liste noire l’ensemble du domaine baidu.com.
De plus, les liens interstitiels complets ne divulguent pas la page de destination, de sorte que la campagne peut rapidement se débarrasser des liens individuels et en introduire de nouveaux.
Pour rendre les liens plus attrayants pour les utilisateurs de Skype, le malware ajoute un identificateur de fragment aléatoire utilisant le nom skype du destinataire (par exemple #emubahyt= à partir du lien en haut de ce post).
Apparemment, cet identificateur n’a pas d’autre utilité puisqu’il ne va nulle part au-delà de la page interstitielle de Baidu.
Domaines utilisés dans la campagne
Abatapka[.]ru n’est pas le seul domaine utilisé dans cette campagne d’escroquerie.
Voici les autres sites et adresses IP qui y sont actuellement impliqués.
Redirection de premier niveau
Les liens Baidu redirigent vers des sites hébergés sur le serveur avec l’adresse IP 46 .30 .46 .78 :
- abatapka[.]ru – créé le 7 novembre 2016
- 3d-universe[.]ru – créé le 3 novembre 2016
- abc-sport[.]ru – créé le 7 novembre 2016
- gieldoweb[.]info – créé le 12 novembre 2016
- tria42[.]ru – créé le 18 novembre 2016
- tehnoenerg[.]ru – créé le 1er novembre 2016
Faux « sites d’actualités ».
Les sites sur le serveur 46.30 .46 .78 redirigent aléatoirement vers l’un des faux « sites d’information » suivants :
- brainvipwit[.]com/?a=370960&c=brain&s=gipo&42988 – 50.115.122.204 – créé le 11 novembre 2016
- brainvlllwit[.]com/?a=370960&c=brain&s=gipo&49374 – 50.115.122.206 – créé le 16 novembre 2016
- intellectvvv[.]com/?a=373727&c=brain&s=lefo&91446 – 5.149.248.236 – créé le 15 novembre 2016
- witxxsmind[.]com/?a=373727&c=brain&s=lefo&82834 – 104.193.252.140 – créé le 15 novembre 2016
- vipiqfmind[.]com/?a=370960&c=brain&s=gipo&94704 – 199.168.187.213 – créé le 28 novembre 2016
Si vous cliquez sur les liens des fausses pages de nouvelles, vous serez redirigé vers un magasin en ligne à master-hot-checkout[.]com (créé le 15 novembre 2016) ou wldemailnews[.]com (créé le 14 juillet 2015) sur le serveur 216 .189 .159 .125.
Comme vous pouvez le voir, bien qu’elle soit active depuis plus d’un an maintenant, la campagne utilise actuellement des noms de domaine enregistrés il y a moins d’un mois.
Cela signifie que les anciens noms de domaine sont régulièrement éliminer et que de nouveaux sont introduits.
Bien sûr, ils ne peuvent pas simplement enregistrer un nouveau nom de domaine et commencer immédiatement à l’utiliser car ils doivent d’abord l’indexer par Baidu.
Pour contourner ce problème, les escrocs essaient d’enregistrer des domaines expirés qui peuvent déjà être trouvés dans l’index Baidu.
Redirection obscure à partir de services légitimes
Cette campagne d’escroquerie massive en cours nous montre comment les criminels utilisent des services légitimes populaires pour mener leurs campagnes sous un déguisement.
Le principal problème avec la page de redirection Baidu est similaire au problème des liens créés par les raccourcisseurs d’URL – ils ne vous donnent aucune idée de l’endroit où ils pointent.
Il existe une grande différence entre les redirections Baidu et les raccourcisseurs d’URL.
La plupart des utilisateurs peuvent savoir quand un raccourcisseur d’URL est utilisé à des fins légitimes, c’est-à-dire lorsque les liens doivent être courts (faciles à saisir ou à contenir une limite de caractères).
Même sur des services comme Twitter, de nombreux utilisateurs sont de plus en plus méfiants vis-à-vis des URL raccourcies, et de plus en plus de gens apprennent à les détecter en premier (par exemple en utilisant le signe + à la fin d’un lien bit.ly) qui affichera en toute sécurité la destination finale de le lien raccourci.
En fait, les liens Baidu ne peuvent même pas être appelés courts – le paramètre url à lui seul comporte plus de 40 caractères.
Les liens Baidu sont assez longs et très obscurs, ce qui en fait de bons candidats pour les campagnes d’arnaques et de logiciels malveillants.
Les gens voient le domaine d’un service Web populaire, se rendent compte que ce n’est pas un lien raccourci (donc ils ne s’attendent pas à être redirigés), et en même temps ils n’ont aucune indication sur la destination finale du lien.
La solution facile, utilisée par des services plus attentionnés, fournit la destination de la redirection en texte clair en tant que paramètre d’URL obligatoire (ainsi que d’autres vérifications qui empêchent l’utilisation abusive de ces types de liens en tant que redirections ouvertes et non validées).
Que faire si j’envoie des liens dans Skype?
Revenons au lien Baidu que vous avez reçu de quelqu’un sur votre liste de contacts Skype.
- Tout d’abord, ne cliquez pas dessus (ou sur un lien dont vous ne savez pas où le lien vous enverra) – il peut s’agir d’un spam plutôt bénin, mais peut facilement être une page malveillante qui installera des virus sur votre ordinateur ou smartphone.
- L’étape suivante consiste à informer la personne qui vous a «envoyé» le lien que son compte Skype a été piraté et elle doit changer le mot de passe Skype (et s’assurer que le nouveau mot de passe est suffisamment fort) et analyser tous les appareils sur lesquels Skype est installé.
En fait, même si vos contacts ne se plaignent pas de recevoir du spam Skype de votre part, la meilleure chose à faire est de changer régulièrement vos mots de passe et d’analyser vos appareils. Au cas où. Soyez proactif et combattez les logiciels malveillants.
Autres lectures: