Eviter le phishing - Comparer ses URLs et adresses d'envoi d'argent
2688 vues, 9 réponses
1
- CaptainCrox'
- "I am an idiot"
9
0
0
- Inscrit le 23 May 2022
- 459 messages
- Blogs
Petit message pas forcément utile pour tout le monde mais en lisant plusieurs posts sur le forum, je remarque que la peur du phishing est présente.
En ce qui me concerne, lorsque je me rends sur un market ou que je fais un paiement, je vérifie mon lien depuis plusieurs sources et compare lettre par lettre les adresses car un lien de phishing peut avoir uniquement quelques lettres de différence par rapport à l'url originale.
Alors vu que les adresses onion sont des adresses illisibles du genre:
http://pmasdn7nlkjmojeo.onion (lien bidon je sais même pas si ça existe), souvent, lorsque l'on veut comparer deux URLs, à l'oeil, on a vite fait de rater une différence et de finir sur un site de phishing.
Pareil lorsqu'il s'agit de comparer une adresse où envoyer des BTC ou XMR (Monero à privilégier). Selon quoi, il vaut toujours mieux s'assurer que l'on a la bonne adresse de destination et selon ce que l'on note des fois dans nos fichiers où ce que nous donne le site, il peut être intéressant de vérifier que les deux adresses sont les mêmes.
Un autre cas qui se présente, c'est lorsque l'on souhaite vérifier une CLEF PGP publique et vu tous les caractères, bah c'est vite compliqué.
Jusqu'à récemment, j'utilisais un service sur le web pour comparer deux textes et cela me disait si 2 chaînes de caractères étaient similaires ou pas. Le truc c'est que c'est un site avec de la pub, des cookies et que sais-je encore. Pas envie d'y comparer des trucs du DW.
Je me suis donc remis au développement web et ai fait un outil similaire. Il permet de comparer deux chaînes de caractères et vous dire si oui ou non les deux chaînes de caractères sont identiques.
http://captaincrox.alwaysdata.net/comparerpa.php
J'ai utilisé un hébergeur gratuit pour cet outil pour que vous puissiez le tester. Je donne sans souci le code PHP à l'équipe de Psychoactif si c'est un outil qui vous intéresse et que vous souhaitez l'héberger sur votre serveur, parce que, en toute honnêteté, sur un hébergeur gratuit, je ne sais pas combien de temps tiendra mon lien.
Si d'autres personnes veulent les sources de l'outil, je le mets volontiers à disposition librement. Ce n'est pas comme si c'est du code révolutionnaire ou un outil qui n'existait pas mais je trouve utile d'avoir un truc pareil. Ca m'a déjà sauvé la mise lorsque je me suis retrouvé avec des URLs quasi-identiques dont une était une adresse de phishing.
Avis, suggestions, je suis dispo. Et comme dit plus haut, si PA veut le fichier php pour l'héberger ou l'intégrer, je peu vous envoyer un fichier ZIP ou vous filer le code tel quel (doit y avoir 200 liges donc pas trop lourd).
A+
“Never be cruel. Never be cowardly. Remember, hate is always foolish and love is always wise. Always try to be nice, but never fail to be kind.” DW
Hors ligne
- kaneda
- Animateur PsychoACTIF
- 2000
- Inscrit le 04 Sep 2021
- 834 messages
CaptainCrox'
Salut Captain, j'ai testé l'utilitaire et c'est pas mal.
Ça aidera sûrement des personnes qui ne font pas assez attention au lien qu'ils utilisent. Perso je compare toujours les liens, mais je le fais manuellement, ce n'est pas toujours évident de tous comparer.
Pour comparer, je superposes les 2 textes que je souhaite comparer, exemple :
faitpétélablanche.onion
faitpétéleblanche.onion
J'ai une suggestion : après avoir comparer les 2 sources est-il possible que les caractères différents soit écrit en rouge par exemple ? Comme ça on voit exactement quel caractères à été modifié. (Exemple ci-dessus)
En tous cas, c'est une très bonne initiative, j'espère que les utilisateurs ne relacheront pas leur vigilances lorsqu'ils l'utiliseront.
Et à tous les utilisateurs de DW :
Ne faites confiance à personne, ne vous pressez pas pour faire un achat et vérifiez toujours TOUS les liens que vous utilisez sur plusieurs sources différentes (3).
C'est ce que je fais depuis des années et je n'ai jamais été phisher.
kaneda
Hors ligne
- Morning Glory
- Ex modo
- 1300
- Inscrit le 10 Oct 2017
- 4409 messages
- Blogs
Μόρνηνγγ Γλωρύ
I <3 5-HT & DA ~
Hors ligne
Merci pour ce programme. Peux tu m’envoyer ton programme ?
Je vais regarder comment si je peux l’intégrer à PA.
Les caractères différents en rouge c’est pas mal aussi
Pierre
Hors ligne
- CaptainCrox'
- "I am an idiot"
- 900
- Inscrit le 23 May 2022
- 459 messages
- Blogs
Morning Glory a écrit
Coucou captain, ton lien est en http et non https, c'est la seule chose qui me dérange jusque là. Je fais remonter au reste de l'équipe pour décider de si on héberge ton outil ou pas :) Merci pour ton travail!
Salut Morning Glory,
J'avoue que vu que le but était de voir si l'outil intéressait qui que ce soit, je ne voulais pas vraiment payer un hébergement payant et ou un certificat ssl. l'idée finale était de soit distribuer librement la chose et de faire tourner en local pour ceux qui savent le faire (LAMP, WAMP, MAMP) ou de l'intégrer à PA.
pierre a écrit
Je t'envoie le fichier zip contenant le .php en MP dans quelques minutes.
Pour l'intégrer, ce n'est pas un code spécialement compliqué, j'utilise la fonction strcmp après validation du formulaire. Je ne sais pas dans quelle mesure FluxBB (jamais vraiment aimé ce soft de forum) permet d'intégrer des pages avec son propre code sinon une manière un peu plus brute de l'intégrer serait d'héberger le fichier php sur le serveur et faire un Iframe en html vers ledit fichier en lien relatif. A disposition si besoin d'un coup de main.
kaneda a écrit
J'ai une suggestion : après avoir comparer les 2 sources est-il possible que les caractères différents soit écrit en rouge par exemple ? Comme ça on voit exactement quel caractères à été modifié. (Exemple ci-dessus)
Ce n'est pas un rajout très compliqué donc je le ferai dans le futur si ça intéresse du monde, mais j'avoue que quand j'ai développé ça au milieu de la nuit, j'étais un petit peu sous ketamine (léger) et je n'avais rien développé depuis des mois alors j'ai utilisé la fonction basique qui vérifie juste la similarité de deux chaînes de caractères mais je peux sans souci rajouter quelque chose qui vérifierait quelle partie est différente et la surligner (si différence il y a).
J'envoie déjà le fichier tel quel à Pierre et on avisera pour la suite.
Si des petits outils/utilitaires vous semblent utiles ou à développer, n'hésitez pas à m'en faire la suggestion (conversation équianalgésique opiacée ou que sais-je par exemple, même si c'est à titre indicatif.
Mes quelques notions de programmation sont les vôtres bien qu'actuellement j'essaie de reprogrammer mon cerveau X)
Merci pour vos retours.
“Never be cruel. Never be cowardly. Remember, hate is always foolish and love is always wise. Always try to be nice, but never fail to be kind.” DW
Hors ligne
merci Captain !
J'ai intégré une première version du comparateur ici : https://www.psychoactif.org/forum/compa … chaine.php
Pour info, ce n'est pas vraiment fluxBB au fil des ans. Depuis le temps que je modifie et améliore le code (15 ans !)
Hors ligne
- AnonLect
- Psycho sénior
- 600
- Inscrit le 26 Jun 2019
- 561 messages
Sympas comme outils, mais j'ai du mal à voir dans quel cas l'utiliser concrètement j'avoue
.Car pour trouver un lien, tu vas sur des sites, fiables, qui donnent les bons lien. La seule option pour se faire phish dans ce cas est que le site en question se soit fait pirater, et que les pirates y ai mis un lien de phishing à la place.
Mais dans ce cas, avec quoi comparer l'URL founie par exemple
?Et si tu as choppé un lien "officiel" sur le shop, que tu l'a copier/coller dans tes favoris ou sur ton ordi, ben ... pareil, tu rentres le lien tel quel dans ton navigateur, et ta pas de point de repère avec lequel le "comparer"
?En gros pour moi, pour les liens du deep, vu que ça passe pas par moteur de recherche :
- ou la source est fiable et dans ce cas pas de PB ;
- ou elle ne l'est pas, et tu te fais phish quoiqu'il arrive, non ?
Ça pourrait être utile sur le clear, quand tu ouvre une page trouvée sur Google, et que c'est un site officiel, avec toujours les même liens genre "orange.fr" qui serait "arange.fr" par ex...
Mais sur le DW, vu que tu tapes pas les adresses de tête ni 'e les trouves sur un moteur de recherche, tout dépend de la source, pour moi, non ?
A moins que tu compares plusieurs sources
?Pareil avec les adresse BTC ou les Clef : si un vendeur X donne sa clef publique, comment pourrait tu te retrouver au final avec la clef de Y ? Ou plutôt, où aurait tu pu trouver la clef de Y pour la comparer avec celle de X ?
En gros si X est fiable c'est bon, si X n'est pas fiable ce ne sera pas bon ; je vois pas comment tu pourrais être sûr à 100% de ce avec quoi tu compares l'item dont tu as un doute, puisque justement on vient de te le fournir.
Et si tu as déjà un lien/adresse/clef 100% fiable, pourquoi comparer ?
Puis les adresses BTC changeant à chaque transaction, tu compares quoi avec quoi concrètement
?C'est pas pour dénigrer ou autre,, mais simplement pourrais tu préciser/donner des exemples concret d'utilisation ?
Merci pour le taff et l'outil fourni en tout cas
Dernière modification par AnonLect (20 novembre 2022 à 21:56)
Hors ligne
- CaptainCrox'
- "I am an idiot"
- 900
- Inscrit le 23 May 2022
- 459 messages
- Blogs
Je compare tout le tps les adresses, les clefs ou autres infos sensibles car il m'est arrivé que deux annuaires censés être fiables donnent une url quasi similaire mais qui, en pratique, donnait une info différente à quelques lettres près.
Je garde tjrs dans mes notes informatiques les adresses de mes markets favoris mais vu qu'il arrive que celles-ci changent de temps à autre, comparer ce que j'ai d'enregistré (ou favoris) à celle(s) proposées par des annuaires me permet de savoir où j'en suis.
Pour les adresses de paiement, si tu utilises un wallet local (my monero par ex.), l'adresse est en général toujours là même. Donc quand j'achète mes xmr sur une plate-forme légale type binance et que j'envoie sur mon wallet perso avant d'envoyer sur le Market, je vérifie, au cas où, que l'adresse de mon wallet locale n'a pas changé. Le risque est infiniment petit mais vu qu'avec les paiements crypto il n'y a pas de retour en arrière. Je préfère perdre 10 secondes avec cet outil que d'envoyer mon argent dans les choux.
Un bug qu'il m'est arrivé sur alphabay, c'est quand j'ai voulu mettre de l'argent sur mon market wallet, sur la page de ton portefeuille où il t'affiche l'adresse où envoyer l'argent, il te met l'adresse deux fois. Dans le cas du bug dont je parle, j'avais deux adresses différentes.
Quant aux clef pgp, certains annuaires proposent la clef publique de certains sites. Il peut être intéressant de comparer la clef donnée par l'annuaire à celle donnée par le site.
Récemment, darknetlive à changé de propriétaire/ à été vendu mais les anciens adminis n'ont pas vendu leur clef privée pgp donc c'est une nouvelle clef et vouvelle empreinte. Dans ce cas, comparer les cefs, urls miroirs etc peut s'avérer utile.
Dans le clear web, c'est le genre d'outil qui peut vite se retrouver utile pour éviter le phishing traditionnel, comparer des iban lors de virements
Cet outil n'est probablement pas utile pour tout le monde. En ce qui me concerne, vérifier et double vérifier tout ce que je fais m'est indispensable. Cela passe par la vérification de deux chaînes de caractères. Et bien d'autres choses.
D'autres y verront une petr de temps et d'autres en tireront ce qui leur utile.
Dans l'univers du dw, la prudence et la méfiance permanence sont de mises. D'où cet "outil".
D'ailleurs, je répète, si vous pensez que d'autres outils pourraient être utiles à développer faites-le savoir.
pierre a écrit
Je dois dire que c'est courageux de faire ton propre fork de punbb/fluxbb. Curiosité de développeur, comment gères-tu les màj de sécurité vu que ton système n'a que très peu de l'original?
Qu'est-ce qui t'a motivé il y a 15 ans à choisir ce software ? Je trouve PA très bien fait mais mise à part la légèreté du soft et le côté open source, ca à du te rajouter une masse de travail monstre... il existe des forums libres ou pas qui proposent tout ce que tu as sûrement du développer toi-même et modernes (gestion de pages, wiki intégré, modes, maj facilitées, etc.)
Je ne critique pas le forum que je trouve fonctionnel et efficace. C'est juste un questionnement et de la Curiosité développeur.
A lere du Web 2.0/web 3.0 et l'arrêt proche du suivi fluxbb, je ne peux m'empêcher de m'inquiéter pour la pérennité du forum. Bref désolé. Ça ne me regarde pas en plus. Désolé..sache en tt cas que si tu as besoin d'aide tech quelconque je suis dispo et prêt à aider. Je suis déjà adhérent de l'association et si je peux aider autrement ce serait un plaisir.
“Never be cruel. Never be cowardly. Remember, hate is always foolish and love is always wise. Always try to be nice, but never fail to be kind.” DW
Hors ligne
- AnonLect
- Psycho sénior
- 600
- Inscrit le 26 Jun 2019
- 561 messages
CaptainCrox' a écrit
Salut
Je compare tout le tps les adresses, les clefs ou autres infos sensibles car il m'est arrivé que deux annuaires censés être fiables donnent une url quasi similaire mais qui, en pratique, donnait une info différente à quelques lettres près.
Je garde tjrs dans mes notes informatiques les adresses de mes markets favoris mais vu qu'il arrive que celles-ci changent de temps à autre, comparer ce que j'ai d'enregistré (ou favoris) à celle(s) proposées par des annuaires me permet de savoir où j'en suis.
Pour les adresses de paiement, si tu utilises un wallet local (my monero par ex.), l'adresse est en général toujours là même. Donc quand j'achète mes xmr sur une plate-forme légale type binance et que j'envoie sur mon wallet perso avant d'envoyer sur le Market, je vérifie, au cas où, que l'adresse de mon wallet locale n'a pas changé. Le risque est infiniment petit mais vu qu'avec les paiements crypto il n'y a pas de retour en arrière. Je préfère perdre 10 secondes avec cet outil que d'envoyer mon argent dans les choux.
Un bug qu'il m'est arrivé sur alphabay, c'est quand j'ai voulu mettre de l'argent sur mon market wallet, sur la page de ton portefeuille où il t'affiche l'adresse où envoyer l'argent, il te met l'adresse deux fois. Dans le cas du bug dont je parle, j'avais deux adresses différentes.
Quant aux clef pgp, certains annuaires proposent la clef publique de certains sites. Il peut être intéressant de comparer la clef donnée par l'annuaire à celle donnée par le site.
Récemment, darknetlive à changé de propriétaire/ à été vendu mais les anciens adminis n'ont pas vendu leur clef privée pgp donc c'est une nouvelle clef et vouvelle empreinte. Dans ce cas, comparer les cefs, urls miroirs etc peut s'avérer utile.
Dans le clear web, c'est le genre d'outil qui peut vite se retrouver utile pour éviter le phishing traditionnel, comparer des iban lors de virements
Cet outil n'est probablement pas utile pour tout le monde. En ce qui me concerne, vérifier et double vérifier tout ce que je fais m'est indispensable. Cela passe par la vérification de deux chaînes de caractères. Et bien d'autres choses.
D'autres y verront une petr de temps et d'autres en tireront ce qui leur utile.
Dans l'univers du dw, la prudence et la méfiance permanence sont de mises. D'où cet "outil".
D'ailleurs, je répète, si vous pensez que d'autres outils pourraient être utiles à développer faites-le savoir.pierre a écrit
Je dois dire que c'est courageux de faire ton propre fork de punbb/fluxbb. Curiosité de développeur, comment gères-tu les màj de sécurité vu que ton système n'a que très peu de l'original?
Qu'est-ce qui t'a motivé il y a 15 ans à choisir ce software ? Je trouve PA très bien fait mais mise à part la légèreté du soft et le côté open source, ca à du te rajouter une masse de travail monstre... il existe des forums libres ou pas qui proposent tout ce que tu as sûrement du développer toi-même et modernes (gestion de pages, wiki intégré, modes, maj facilitées, etc.)
Je ne critique pas le forum que je trouve fonctionnel et efficace. C'est juste un questionnement et de la Curiosité développeur.
A lere du Web 2.0/web 3.0 et l'arrêt proche du suivi fluxbb, je ne peux m'empêcher de m'inquiéter pour la pérennité du forum. Bref désolé. Ça ne me regarde pas en plus. Désolé..sache en tt cas que si tu as besoin d'aide tech quelconque je suis dispo et prêt à aider. Je suis déjà adhérent de l'association et si je peux aider autrement ce serait un plaisir.
D'acc, merci des précisions !
Donc c'est surtout pour être sûr à 150% quand on est sûr qu'à 99%, et qu'on a déjà toutes les données. Mais je te rejoins, sur le deep, 99% n'est pas suffisant, je suis d'accord !
Pour le Wallet perso, pour le coup je fais à chaque fois "créer une nouvelle adresse de réception" donc elle change à chaque fois... Après je suis relativement sûr de mon "copier/coller", mais c'est vrai que je vérifie toujours que les premier et derniers caractères sont bien les mêmes, au cas oû j'aurai omis de tout sélectionner ou autre... 
Donc je vois très bien maintenant dans quel cadre l'utiliser, merci à toi 
.
Dernière modification par AnonLect (21 novembre 2022 à 12:15)
Hors ligne
- lislandais
- Nouveau membre
- 000
- Inscrit le 03 Sep 2023
- 12 messages
Hors ligne
- » Forums
- » Conseils généraux de réduction des risques
- » Anonymat et sécurité sur internet - Conseil sur le deep web
- » Eviter le phishing - Comparer ses URLs et adresses d'envoi d'argent
1
Sujets similaires dans les forums, psychowiki et QuizzZ
 |
[ Forum ] Market - Le phishing, besoin d'aide
|
7 |
|
0 | |
|
3 |
Pied de page des forums
Propulsé par FluxBB
Traduction par FluxBB.fr
Psychoactif est une communauté dédiée à l'information, l'entraide, l'échange d'expériences et la construction de savoirs sur les drogues, dans une démarche de réduction des risques.
Soutenez PsychoACTIF
Flux RSS | Affichage Mobile
Droit d'auteur : Les textes de Psychoactif de https://www.psychoactif.org sont sous licence CC by NC SA 3.0