[ Actualité ]

Alerte ! privnotes.com est un site malveillant

TLDR : Il existe 2 sites : privnote.com et privnotes.com (avec un s à la fin). Le deuxième est une copie malveillante du premier.


Bonjour.

Je poste ici pour lancer une alerte à propos d'un site qui est couramment utilisé ici, et en relisant mes messages, je constate que je me suis moi même malheureusement fait avoir. Plus grave encore, ce site est même recommandé dans ce topic dédié et j'enjoins l'équipe de modération à le modifier afin d'éviter de rediriger les visiteurs sur un site malicieux.


Ce week end, j'ai remarqué quelque chose d'étrange. Quand on tape privnote dans google, on obtient deux résultats principaux, respectivement privnote.com et privnotes.com :

En visitant ces deux sites, on se rend compte qu'ils ont le même design et la même fonctionnalité, ce qui est en soi très suspect. En faisant des recherches dans la communauté des hackeurs, je suis tombé sur le témoignage d'une personne disant qu'elle s'est faite arnaquer d'une grosse somme d'argent parce qu'elle a envoyé un paiement à une addresse bitcoin qu'un de ses contact lui a envoyé via privnotes.com. L'argent est bien parti, mais le bénéficiaire n'a pourtant jamais reçu le paiement. Cette personne a ensuite réalisé que l'addresse bitcoin qui a été envoyé via privnotes.com a été changée en cours de route et qu'il a donc envoyé l'argent à quelqu'un d'autre.

J'ai donc décidé de reproduire l'expérience sur les deux sites. J'ai créé le message suivant :

Hi

Here's my address to send me your payment. As a reminder, the amount due is 5400$. Send me 0.5745 btc to this address:

1DskQSfaptRWy44d7kcJ96Z17BzB8iqtbN

Regards

LB

Je l'ai posté sur privnotes.com le 03/02/2020 à 18h21 heure locale et j'ai sauvegardé le lien pour récupérer le message plus tard. Voici une capture d'écran du message juste avant de créer la note:

Et maintenant, voici le message tel qu'il m'a été restitué 2 jours plus tard le 05/02/2020 :

J'ai réalisé en même temps la même expérience sur privnote.com (sans s). Le message m'a été restitué fidèlement et privnote.com n'a pas montré de signes de malveillance.

Et le pire, c'est que le site malveillant est en deuxième position dans google si vous avez un bloqueur de pubs, et en première position si vous n'en avez pas !


Ce que cette expérience prouve :

- Des tiers liés à privnotes.com lisent les messages qui y sont postés.
- Les messages sont modifiés en cours de route.


Ce que cette expérience ne prouve pas :

- Que privnote.com (sans s) est fiable. Je n'ai rien trouvé de suspect sur ce site, mais l'absence de preuve n'est pas la preuve de l'absence


Basiquement, ce qu'il faut retenir de cette expérience, c'est qu'il ne faut pas faire aveuglément confiance aux sites de notes qui s'autodétruisent. Dans la mesure du possible, il vaut mieux privilégier le chiffrement gpg. Si toutefois vous décidez d'avoir recours à ce genre de site, la réduction des risques s'applique aussi :

- Faites attention quand de l'argent est en jeu

- L'émetteur et le destinataire devraient utiliser Tor pour rester anonyme

- Ne signez pas pour ne pas être identifié

- N'utilisez pas la fonctionnalité du site "envoyer le lien par email", sinon, vous risquez de faire leaker le destinataire.

- Gardez à l'esprit au moment d'écrire votre message que vous n'avez aucune garantie sur la confidentialité/sécurité du message.

- Gardez à l'esprit que si quelqu'un peut modifier en cours de route l'URL que vous allez envoyer à votre correspondant, il est alors très facile pour un attaquant de lire la note en premier, de la recréer et de remplacer le lien vers la note.



En prime, voici le témoignage de la personne que j'ai trouvé sur internet :

All data is sent unencrypted in plaintext just check the requests, it also doesn't enforce any kind of decryption key when opening a note and the part after # in the URL can be replaced by arbitrary characters and the note will still open.

I wanna put out a warning because if you search for Privnote on Google the fake site is the 2nd result and 1st result if you don't have an ad blocker installed!

Bitcoin addresses are not swapped out automatically but manually, if you make a note and put some Bitcoin address and wait a while it'll be swapped out (manually, by the owner of the site), or if you send vouchers they'll be redeemed and the note destroyed without even being opened.

This is a warning about privnotes.com (scam) NOT privnote.com (safe).

I kinda feel like we should censor privnotes.com because of it showing as #1 in Google with ads and #2 without ads coupled with the fact that * Censuré * is heavily cryptocurrency oriented.

I lost a pretty penny due to this so I am kinda pissed, the owner is hiding behind CloudFlare and usual tricks like direct-connect, mx, CrimeFlare (down) and Netcraft didn't reveal nothing, recently registered, hiding behind WHOIS guard registered with NameSilo. From what I can tell the owner is a Russian national, but I don't know for sure.

Dernière modification par pierre (06 février 2020 à  12:42)