Enquête sur une arnaque de phishing déguisée en académie de trading : de Reddit aux signalements d'abus
Un chercheur en sécurité junior a découvert un post Reddit concernant un système suspect de 'formation au trading', où les victimes étaient incitées à effectuer de petits échanges avant que des tentatives de siphonnage de leurs fonds ne soient effectuées. L'objectif de l'enquête : auditer le site begini.ltd, recueillir des preuves de son infrastructure et initier des procédures de suppression. Les outils utilisés incluaient Kali Linux (Nmap, FFUF), OSINT et Revoke.cash.
Le système est une arnaque classique de type 'Pig Butchering' :
- L'appât : Fausses offres d'emploi ou 'formations gratuites'.
- La mise en confiance : Transfert de petites sommes pour simuler des profits.
- Le piège : Affichage d'un écran demandant une autorisation infinie (Approbation ERC-20), accordant aux escrocs un accès illimité aux jetons du portefeuille.
Analyse du frontend : Phishing pour les données
Dans le code source du site, un formulaire d'inscription a été découvert :
<form class="register-form" action="send.php" method="POST">
Le formulaire envoie le nom complet, le numéro de téléphone et l'identifiant Telegram à send.php via POST en texte clair. Le serveur répond avec un statut 302 et une redirection instantanée, minimisant le temps de la victime sur la page.
Dans l'onglet Réseau (F12), des en-têtes comme cf-cache-status et cf-ray indiquent l'utilisation de Cloudflare. Les données sont collectées sans chiffrement—un collecteur de données classique.
Reconnaissance active : Nmap et FFUF sur Kali Linux
Passage aux outils Kali Linux pour le scan de ports et le fuzzing de répertoires.
Nmap : Ports et services
La commande nmap a révélé :
- Les ports 80 (HTTP) et 443 (HTTPS) sont ouverts.
- Certificat émis par Cloudflare Inc ECC CA-3 en février 2026.
- Anomalies sur les ports 8080 et 8443—panneaux d'administration ou proxys possibles.
La récupération de bannière a montré 'Crypto Trading Academy 2025'—un modèle obsolète en 2026.
FFUF : Fuzzing de répertoires
Le fuzzer ffuf a trouvé :
- success.php (200, ~5 Ko)—un 'terminal' avec des scripts JS pour la redirection.
- Des points de terminaison PHP, confirmant un backend PHP.
- Les répertoires /admin/ et /config/ bloqués (403 de Cloudflare).
L'infrastructure est un kit de phishing PHP standard derrière Cloudflare, avec des ports non standard et des signes de configuration hâtive.
Dépôt d'un signalement d'abus et suppression
Un dossier a été compilé : captures d'écran, journaux réseau, résultats Nmap/FFUF. Un signalement a été soumis à Cloudflare (ID de signalement : 6d27e144bc7f8061). Une confirmation d'incident a été reçue, et l'infrastructure a commencé à être supprimée.
Points clés à retenir :
- L'approbation infinie en ERC-20 est le vecteur principal de vol de jetons ; vérifiez les autorisations via Revoke.cash.
- Cloudflare ne bloque pas automatiquement le phishing—les signalements d'abus sont efficaces.
- Les ports inhabituels (8080/8443) révèlent souvent des panneaux d'administration dans les kits de phishing.
- FFUF et Nmap sont une pile de base pour inverser l'infrastructure des arnaques.
- Les modèles obsolètes (années dans les bannières) sont un marqueur de campagnes de masse.
Recommandations pour les spécialistes intermédiaires/seniors
Lors de l'audit de systèmes similaires :
- Utilisez FFUF avec une liste de mots comme common.txt pour les répertoires.
- Utilisez Nmap avec -sC -sV pour les scripts et versions.
- Vérifiez le Réseau pour le trafic en texte clair.
- Enregistrez cf-ray pour le suivi dans les signalements d'abus.
Les preuves totales ont dépassé 10 Mo de captures d'écran et journaux, accélérant la réponse du fournisseur.
— Editorial Team
Aucun commentaire pour le moment.