Eviter le phishing - Comparer ses URLs et adresses d'envoi d'argent

Publié par ,
2702 vues, 9 réponses
avatar
CaptainCrox'
"I am an idiot"
Suisse
champi vert9champijaune0cxhampi rouge0
Inscrit le 23 May 2022
459 messages
Blogs
Bonjour tout le monde,

Petit message pas forcément utile pour tout le monde mais en lisant plusieurs posts sur le forum, je remarque que la peur du phishing est présente.

En ce qui me concerne, lorsque je me rends sur un market ou que je fais un paiement, je vérifie mon lien depuis plusieurs sources et compare lettre par lettre les adresses car un lien de phishing peut avoir uniquement quelques lettres de différence par rapport à l'url originale.

Alors vu que les adresses onion sont des adresses illisibles du genre:
http://pmasdn7nlkjmojeo.onion (lien bidon je sais même pas si ça existe), souvent, lorsque l'on veut comparer deux URLs, à l'oeil, on a vite fait de rater une différence et de finir sur un site de phishing.

Pareil lorsqu'il s'agit de comparer une adresse où envoyer des BTC ou XMR (Monero à privilégier). Selon quoi, il vaut toujours mieux s'assurer que l'on a la bonne adresse de destination et selon ce que l'on note des fois dans nos fichiers où ce que nous donne le site, il peut être intéressant de vérifier que les deux adresses sont les mêmes.

Un autre cas qui se présente, c'est lorsque l'on souhaite vérifier une CLEF PGP publique et vu tous les caractères, bah c'est vite compliqué.

Jusqu'à récemment, j'utilisais un service sur le web pour comparer deux textes et cela me disait si 2 chaînes de caractères étaient similaires ou pas. Le truc c'est que c'est un site avec de la pub, des cookies et que sais-je encore. Pas envie d'y comparer des trucs du DW.

Je me suis donc remis au développement web et ai fait un outil similaire. Il permet de comparer deux chaînes de caractères et vous dire si oui ou non les deux chaînes de caractères sont identiques.

http://captaincrox.alwaysdata.net/comparerpa.php

J'ai utilisé un hébergeur gratuit pour cet outil pour que vous puissiez le tester. Je donne sans souci le code PHP à l'équipe de Psychoactif si c'est un outil qui vous intéresse et que vous souhaitez l'héberger sur votre serveur, parce que, en toute honnêteté, sur un hébergeur gratuit, je ne sais pas combien de temps tiendra mon lien.

Si d'autres personnes veulent les sources de l'outil, je le mets volontiers à disposition librement. Ce n'est pas comme si c'est du code révolutionnaire ou un outil qui n'existait pas mais je trouve utile d'avoir un truc pareil. Ca m'a déjà sauvé la mise lorsque je me suis retrouvé avec des URLs quasi-identiques dont une était une adresse de phishing.

Avis, suggestions, je suis dispo. Et comme dit plus haut, si PA veut le fichier php pour l'héberger ou l'intégrer, je peu vous envoyer un fichier ZIP ou vous filer le code tel quel (doit y avoir 200 liges donc pas trop lourd).

A+
Reputation de ce post
 
Super, hyper utile
 
Merci pour ta contribution

“Never be cruel. Never be cowardly. Remember, hate is always foolish and love is always wise. Always try to be nice, but never fail to be kind.” DW

Hors ligne

 

avatar
kaneda homme
Animateur PsychoACTIF
champi vert20champijaune0cxhampi rouge0
Inscrit le 04 Sep 2021
835 messages

CaptainCrox'

Salut Captain, j'ai testé l'utilitaire et c'est pas mal.

Ça aidera sûrement des personnes qui ne font pas assez attention au lien qu'ils utilisent. Perso je compare toujours les liens, mais je le fais manuellement, ce n'est pas toujours évident de tous comparer.

Pour comparer, je superposes les 2 textes que je souhaite comparer, exemple :

faitpétélablanche.onion
faitpétéleblanche.onion

J'ai une suggestion : après avoir comparer les 2 sources est-il possible que les caractères différents soit écrit en rouge par exemple ? Comme ça on voit exactement quel caractères à été modifié. (Exemple ci-dessus)

En tous cas, c'est une très bonne initiative, j'espère que les utilisateurs ne relacheront pas leur vigilances lorsqu'ils l'utiliseront.

Et à tous les utilisateurs de DW :
Ne faites confiance à personne, ne vous pressez pas pour faire un achat et vérifiez toujours TOUS les liens que vous utilisez sur plusieurs sources différentes (3).

C'est ce que je fais depuis des années et je n'ai jamais été phisher.

kaneda

Hors ligne

 

avatar
Morning Glory femme
Ex modo
champi vert13champijaune0cxhampi rouge0
Inscrit le 10 Oct 2017
4409 messages
Blogs
Coucou captain, ton lien est en http et non https, c'est la seule chose qui me dérange jusque là. Je fais remonter au reste de l'équipe pour décider de si on héberge ton outil ou pas :) Merci pour ton travail!

Μόρνηνγγ Γλωρύ
I <3 5-HT & DA ~

Hors ligne

 

avatar
pierre
Web-Administrateur
champi vert91champijaune0cxhampi rouge0
Inscrit le 15 Sep 2006
17598 messages
Blogs
Bonjour Captain Crox

Merci pour ce programme. Peux tu m’envoyer ton programme ?

Je vais regarder comment si je peux l’intégrer à PA.
Les caractères différents en rouge c’est pas mal aussi

Pierre

Hors ligne

 

avatar
CaptainCrox'
"I am an idiot"
Suisse
champi vert9champijaune0cxhampi rouge0
Inscrit le 23 May 2022
459 messages
Blogs

Morning Glory a écrit

Coucou captain, ton lien est en http et non https, c'est la seule chose qui me dérange jusque là. Je fais remonter au reste de l'équipe pour décider de si on héberge ton outil ou pas :) Merci pour ton travail!

Salut Morning Glory,
J'avoue que vu que le but était de voir si l'outil intéressait qui que ce soit, je ne voulais pas vraiment payer un hébergement payant et ou un certificat ssl. l'idée finale était de soit distribuer librement la chose et de faire tourner en local pour ceux qui savent le faire (LAMP, WAMP, MAMP) ou de l'intégrer à PA.

pierre a écrit

Je t'envoie le fichier zip contenant le .php en MP dans quelques minutes.

Pour l'intégrer, ce n'est pas un code spécialement compliqué, j'utilise la fonction strcmp après validation du formulaire. Je ne sais pas dans quelle mesure FluxBB (jamais vraiment aimé ce soft de forum) permet d'intégrer des pages avec son propre code sinon une manière un peu plus brute de l'intégrer serait d'héberger le fichier php sur le serveur et faire un Iframe en html vers ledit fichier en lien relatif. A disposition si besoin d'un coup de main.


kaneda a écrit

J'ai une suggestion : après avoir comparer les 2 sources est-il possible que les caractères différents soit écrit en rouge par exemple ? Comme ça on voit exactement quel caractères à été modifié. (Exemple ci-dessus)

Ce n'est pas un rajout très compliqué donc je le ferai dans le futur si ça intéresse du monde, mais j'avoue que quand j'ai développé ça au milieu de la nuit, j'étais un petit peu sous ketamine (léger) et je n'avais rien développé depuis des mois alors j'ai utilisé la fonction basique qui vérifie juste la similarité de deux chaînes de caractères mais je peux sans souci rajouter quelque chose qui vérifierait quelle partie est différente et la surligner (si différence il y a).

J'envoie déjà le fichier tel quel à Pierre et on avisera pour la suite.

Si des petits outils/utilitaires vous semblent utiles ou à développer, n'hésitez pas à m'en faire la suggestion (conversation équianalgésique opiacée ou que sais-je par exemple, même si c'est à titre indicatif.

Mes quelques notions de programmation sont les vôtres bien qu'actuellement j'essaie de reprogrammer mon cerveau X)

Merci pour vos retours.


“Never be cruel. Never be cowardly. Remember, hate is always foolish and love is always wise. Always try to be nice, but never fail to be kind.” DW

Hors ligne

 

avatar
pierre
Web-Administrateur
champi vert91champijaune0cxhampi rouge0
Inscrit le 15 Sep 2006
17598 messages
Blogs
Bonjour,

merci Captain !

J'ai intégré une première version du comparateur ici : https://www.psychoactif.org/forum/compa … chaine.php

Pour info, ce n'est pas vraiment fluxBB au fil des ans. Depuis le temps que je modifie et améliore le code (15 ans !)

Hors ligne

 

AnonLect homme
Psycho sénior
champi vert6champijaune0cxhampi rouge0
Inscrit le 26 Jun 2019
561 messages
Salut,

Sympas comme outils, mais j'ai du mal à voir dans quel cas l'utiliser concrètement j'avoue thinking .

Car pour trouver un lien, tu vas sur des sites, fiables, qui donnent les bons lien. La seule option pour se faire phish dans ce cas est que le site en question se soit fait pirater, et que les pirates y ai mis un lien de phishing à la place.

Mais dans ce cas, avec quoi comparer l'URL founie par exemple thinking ?

Et si tu as choppé un lien "officiel" sur le shop, que tu l'a copier/coller dans tes favoris ou sur ton ordi, ben ... pareil, tu rentres le lien tel quel dans ton navigateur, et ta pas de point de repère avec lequel le "comparer" thinking ?

En gros pour moi, pour les liens du deep, vu que ça passe pas par moteur de recherche :
- ou la source est fiable et dans ce cas pas de PB ;
- ou elle ne l'est pas, et tu te fais phish quoiqu'il arrive, non ?

Ça pourrait être utile sur le clear, quand tu ouvre une page trouvée sur Google, et que c'est un site officiel, avec toujours les même liens genre "orange.fr" qui serait "arange.fr" par ex...

Mais sur le DW, vu que tu tapes pas les adresses de tête ni 'e les trouves sur un moteur de recherche, tout dépend de la source, pour moi, non ?

A moins que tu compares plusieurs sources thinking ?

Pareil avec les adresse BTC ou les Clef : si un vendeur X donne sa clef publique, comment pourrait tu te retrouver au final avec la clef de Y ? Ou plutôt, où aurait tu pu trouver la clef de Y pour la comparer avec celle de X ?

En gros si X est fiable c'est bon, si X n'est pas fiable ce ne sera pas bon ; je vois pas comment tu pourrais être sûr à 100% de ce avec quoi tu compares l'item dont tu as un doute, puisque justement on vient de te le fournir.

Et si tu as déjà un lien/adresse/clef 100% fiable, pourquoi comparer ?

Puis les adresses BTC changeant à chaque transaction, tu compares quoi avec quoi concrètement thinking ?

C'est pas pour dénigrer ou autre,, mais simplement pourrais tu préciser/donner des exemples concret d'utilisation ?

Merci pour le taff et l'outil fourni en tout cas super

drogue-peace

Dernière modification par AnonLect (20 novembre 2022 à  21:56)

Hors ligne

 

avatar
CaptainCrox'
"I am an idiot"
Suisse
champi vert9champijaune0cxhampi rouge0
Inscrit le 23 May 2022
459 messages
Blogs
Salut

Je compare tout le tps les adresses, les clefs ou autres infos sensibles car il m'est arrivé que deux annuaires censés être fiables donnent une url quasi similaire mais qui, en pratique, donnait une info différente à quelques lettres près.

Je garde tjrs dans mes notes informatiques les adresses de mes markets favoris  mais vu qu'il arrive que celles-ci changent de temps à autre, comparer ce que j'ai d'enregistré (ou favoris) à celle(s) proposées par des annuaires me permet de savoir où j'en suis.

Pour les adresses de paiement, si tu utilises un wallet local (my monero par ex.), l'adresse est en général toujours là même. Donc quand j'achète mes xmr sur une plate-forme légale type binance et que j'envoie sur mon wallet perso avant d'envoyer sur le Market, je vérifie, au cas où, que l'adresse de mon wallet locale n'a pas changé. Le risque est infiniment petit mais vu qu'avec les paiements crypto il n'y a pas de retour en arrière. Je préfère perdre 10 secondes avec cet outil que d'envoyer mon argent dans les choux.

Un bug qu'il m'est arrivé sur alphabay, c'est quand j'ai voulu mettre de l'argent sur mon market wallet, sur la page de ton portefeuille où il t'affiche l'adresse où envoyer l'argent, il te met l'adresse deux fois. Dans le cas du bug dont je parle, j'avais deux adresses différentes.

Quant aux clef pgp, certains annuaires proposent la clef publique de certains sites. Il peut être intéressant de comparer la clef donnée par l'annuaire à celle donnée par le site.

Récemment, darknetlive à changé de propriétaire/ à été vendu mais les anciens adminis n'ont pas vendu leur clef privée pgp donc c'est une nouvelle clef et vouvelle empreinte. Dans ce cas, comparer les cefs, urls miroirs etc peut s'avérer utile.

Dans le clear web, c'est le genre d'outil qui peut vite se retrouver utile pour éviter le phishing traditionnel, comparer des iban lors de virements

Cet outil n'est probablement pas utile pour tout le monde.  En ce qui me concerne, vérifier et double vérifier tout ce que je fais m'est indispensable. Cela passe par la vérification de deux chaînes de caractères. Et bien d'autres choses.

D'autres y verront une petr de temps et d'autres en tireront ce qui leur utile.

Dans l'univers du dw, la prudence et la méfiance permanence sont de mises. D'où cet  "outil".

D'ailleurs, je répète, si vous pensez que d'autres outils pourraient être utiles à développer faites-le savoir.

pierre a écrit

Je dois dire que c'est courageux de faire ton propre fork de punbb/fluxbb. Curiosité de développeur, comment gères-tu les màj de sécurité vu que ton système n'a que très peu de l'original?

Qu'est-ce qui t'a motivé il y a 15 ans à choisir ce software ? Je trouve PA très bien fait mais mise à part la légèreté du soft et le côté open source, ca à du te rajouter une masse de travail monstre... il existe des forums libres ou pas qui proposent tout ce que tu as sûrement du développer toi-même et modernes (gestion de pages, wiki intégré, modes, maj facilitées, etc.)

Je ne critique pas le forum que je trouve fonctionnel et efficace. C'est juste un questionnement et de la Curiosité développeur.

A lere du Web 2.0/web 3.0 et l'arrêt proche du suivi fluxbb, je ne peux m'empêcher de m'inquiéter pour la pérennité du forum. Bref désolé. Ça ne me regarde pas en plus. Désolé..sache en tt cas que si tu as besoin d'aide tech quelconque je suis dispo et prêt à aider. Je suis déjà adhérent de l'association et si je peux aider autrement ce serait un plaisir.


“Never be cruel. Never be cowardly. Remember, hate is always foolish and love is always wise. Always try to be nice, but never fail to be kind.” DW

Hors ligne

 

AnonLect homme
Psycho sénior
champi vert6champijaune0cxhampi rouge0
Inscrit le 26 Jun 2019
561 messages

CaptainCrox' a écrit

Salut

Je compare tout le tps les adresses, les clefs ou autres infos sensibles car il m'est arrivé que deux annuaires censés être fiables donnent une url quasi similaire mais qui, en pratique, donnait une info différente à quelques lettres près.

Je garde tjrs dans mes notes informatiques les adresses de mes markets favoris  mais vu qu'il arrive que celles-ci changent de temps à autre, comparer ce que j'ai d'enregistré (ou favoris) à celle(s) proposées par des annuaires me permet de savoir où j'en suis.

Pour les adresses de paiement, si tu utilises un wallet local (my monero par ex.), l'adresse est en général toujours là même. Donc quand j'achète mes xmr sur une plate-forme légale type binance et que j'envoie sur mon wallet perso avant d'envoyer sur le Market, je vérifie, au cas où, que l'adresse de mon wallet locale n'a pas changé. Le risque est infiniment petit mais vu qu'avec les paiements crypto il n'y a pas de retour en arrière. Je préfère perdre 10 secondes avec cet outil que d'envoyer mon argent dans les choux.

Un bug qu'il m'est arrivé sur alphabay, c'est quand j'ai voulu mettre de l'argent sur mon market wallet, sur la page de ton portefeuille où il t'affiche l'adresse où envoyer l'argent, il te met l'adresse deux fois. Dans le cas du bug dont je parle, j'avais deux adresses différentes.

Quant aux clef pgp, certains annuaires proposent la clef publique de certains sites. Il peut être intéressant de comparer la clef donnée par l'annuaire à celle donnée par le site.

Récemment, darknetlive à changé de propriétaire/ à été vendu mais les anciens adminis n'ont pas vendu leur clef privée pgp donc c'est une nouvelle clef et vouvelle empreinte. Dans ce cas, comparer les cefs, urls miroirs etc peut s'avérer utile.

Dans le clear web, c'est le genre d'outil qui peut vite se retrouver utile pour éviter le phishing traditionnel, comparer des iban lors de virements

Cet outil n'est probablement pas utile pour tout le monde.  En ce qui me concerne, vérifier et double vérifier tout ce que je fais m'est indispensable. Cela passe par la vérification de deux chaînes de caractères. Et bien d'autres choses.

D'autres y verront une petr de temps et d'autres en tireront ce qui leur utile.

Dans l'univers du dw, la prudence et la méfiance permanence sont de mises. D'où cet  "outil".

D'ailleurs, je répète, si vous pensez que d'autres outils pourraient être utiles à développer faites-le savoir.

pierre a écrit

Je dois dire que c'est courageux de faire ton propre fork de punbb/fluxbb. Curiosité de développeur, comment gères-tu les màj de sécurité vu que ton système n'a que très peu de l'original?

Qu'est-ce qui t'a motivé il y a 15 ans à choisir ce software ? Je trouve PA très bien fait mais mise à part la légèreté du soft et le côté open source, ca à du te rajouter une masse de travail monstre... il existe des forums libres ou pas qui proposent tout ce que tu as sûrement du développer toi-même et modernes (gestion de pages, wiki intégré, modes, maj facilitées, etc.)

Je ne critique pas le forum que je trouve fonctionnel et efficace. C'est juste un questionnement et de la Curiosité développeur.

A lere du Web 2.0/web 3.0 et l'arrêt proche du suivi fluxbb, je ne peux m'empêcher de m'inquiéter pour la pérennité du forum. Bref désolé. Ça ne me regarde pas en plus. Désolé..sache en tt cas que si tu as besoin d'aide tech quelconque je suis dispo et prêt à aider. Je suis déjà adhérent de l'association et si je peux aider autrement ce serait un plaisir.

D'acc, merci des précisions !

Donc c'est surtout pour être sûr à 150% quand on est sûr qu'à 99%, et qu'on a déjà toutes les données. Mais je te rejoins, sur le deep, 99% n'est pas suffisant, je suis d'accord ! super

Pour le Wallet perso, pour le coup je fais à chaque fois "créer une nouvelle adresse de réception" donc elle change à chaque fois... Après je suis relativement sûr de mon "copier/coller", mais c'est vrai que je vérifie toujours que les premier et derniers caractères sont bien les mêmes, au cas oû j'aurai omis de tout sélectionner ou autre... lol

Donc je vois très bien maintenant dans quel cadre l'utiliser, merci à toi wink.

drogue-peace

Dernière modification par AnonLect (21 novembre 2022 à  12:15)

Hors ligne

 

lislandais homme
Nouveau membre
Iceland
champi vert0champijaune0cxhampi rouge0
Inscrit le 03 Sep 2023
12 messages
aussi bien intéressé pour savoir ce qui a motivé le choix de fluxbb. Y-a-t-il beaucoup de dev custom par rapport à la version d'origine ?

Hors ligne

 


Remonter


Pour répondre à cette discussion, vous devez vous inscrire

Sujets similaires dans les forums, psychowiki et QuizzZ

logo Psychoactif
[ Forum ] Market - Le phishing, besoin d'aide
par pavel89800, dernier post 12 décembre 2021 par Anonyme25
  7
logo Psychoactif
[ Forum ] ATTENTION : Tentative de phishing probable - Site de RC
par Le Chien de la Casse, dernier post 26 mai 2020 par Le Chien de la Casse
  0
logo Psychoactif
[ Forum ] Changement d'adresses Bitcoin DreamMarket
par estar4545, dernier post 03 mars 2019 par Yog-Sothoth
  3

Pied de page des forums