SIte suspect et tentative de phishing

Bonjour

Mon antivirus Bitdefender m'a donné 2 alertes qui m'inquiètent un peu. Pour la tentative de phishing:

......leadplace.fr/wapcrto.php?part=remailme

Je laisse volontairement le début du lien absent parce que je ne sais pas si je suis autorisé à le publier ici (pour des raisons de sécurité).

Page web suspecte détectée:

....mkz.cloud/v1/rcs/sddan

Pareil que pour le 1er, je n'ai pas mis le lien en entier.

Ai-je des raisons de m'inquiéter?

Précision: c'est sur une machine qui possède la suite créative cloud. J'ai également du matériel graphique et un driver qui ne sont pas de la marque wacom. Je ne souhaite pas nommer la marque, mais peut-être est-ce en lien.

Merci d'avance pour votre aide.

PS: je n'ai pas fait de navigation que je jugerai de risquée. Tous les sites durant cette période sont des sites de confiances. Mon PC a été formaté il y a peu, il est donc je pense relativement propre (aucune installation douteuse autre que citée plus haut).

Les scans Bitdefender, que ce soit sur Windows mais aussi au démarrage n'ont rien trouvé.

Trouver d'autres publications étiquetées avec

Réponses

Yann A.

16 hours ago, Colass said:

Bonjour

Mon antivirus Bitdefender m'a donné 2 alertes qui m'inquiètent un peu. Pour la tentative de phishing:

......leadplace.fr/wapcrto.php?part=remailme

Je laisse volontairement le début du lien absent parce que je ne sais pas si je suis autorisé à le publier ici (pour des raisons de sécurité).

Page web suspecte détectée:

....mkz.cloud/v1/rcs/sddan

Pareil que pour le 1er, je n'ai pas mis le lien en entier.

Ai-je des raisons de m'inquiéter?

Précision: c'est sur une machine qui possède la suite créative cloud. J'ai également du matériel graphique et un driver qui ne sont pas de la marque wacom. Je ne souhaite pas nommer la marque, mais peut-être est-ce en lien.

Merci d'avance pour votre aide.

PS: je n'ai pas fait de navigation que je jugerai de risquée. Tous les sites durant cette période sont des sites de confiances. Mon PC a été formaté il y a peu, il est donc je pense relativement propre (aucune installation douteuse autre que citée plus haut).

Les scans Bitdefender, que ce soit sur Windows mais aussi au démarrage n'ont rien trouvé.

Bonjour,

Pour les requêtes vers le site leadplace.fr, vous n'avez pas de raisons de vous inquiéter. Ce domaine appartient à une société qui gère les données publicitaires, marketing pour de nombreux sites ou applications. Il s'agit donc d'un faux positif que je vais remonter.

Pour le deuxième site, c'est également un domaine appartenant à une plateforme de marketing web en France, Makazi. Il s'agit donc également d'un faux positif je pense, car ça n'est pas du phishing même si ces requêtes servent à une collecte de données (anonymes) pour des usages marketing.

Colass

Merci beaucoup pour votre réponse.

Effectivement j'ai fait une recherche de mon côté, leadplace travaille bien avec Adobe, c'est écrit sur le site d'Adobe lui-même, ils ont un partenariat.

Pour la deuxième page, Bitdefender n'indiquait pas qu'il s'agissait de phishing mais d'une page dangeureuse, mais effectivement, il est fort probable qu'il s'agisse d'une bannière ou d'une pub.

Par contre je suis régulièrement l'activité des tentatives de connexions sur ma boite mail, et il y a eu une tentative de synchronisation qui a échouée, mais la provenance (adresse IP qui ne vient ni de ma ligne internet, ni de ma ligne 4G) m'a alarmé. Surtout quand il est indiqué le nom du pays où la tentative a été réalisée.

Et comme par hasard, la tentative a eu lieu au moment où j'utilisais ma machine (que j'utilise très peu, une heure par jour, certains jours seulement). J'ai une double authentification d'activée (depuis plusieurs mois) et j'ai changé d'alias pour la connexion, j'ai interdis à l'ancien alias de permettre une connexion. C'est d'ailleurs une option très utile si on se trouve avec une adresse mail listée quelque part.

Donc même si les alertes précédentes sont des faux, j'ai des raisons de penser qu'il y a un loup quelque part.

Si je peux me permettre, j'ai 4 questions à vous demander:

- Sur quel site dois-je aller pour me faire aider et analyser ma machine (vous savez comme à une certaine époque avec les rapports HiJackThis)

- Quelle sont les réglages du pare-feu Bitdefender à faire pour que ma machine soit la plus "étanche" possible, car c'est une machine que j'utilise exclusivement pour le graphisme (à savoir uniquement surf avec Firefox et les fonctionnalités du créative cloud d'adobe)? N'y a-t-il pas des processus réseau comme svchost.exe que je suis obligé de laisser passer (ou d'autre fonctionnalité)?

- Est-ce que je peux utiliser SafePay pour renforcer la sécurité pour consulter ma boite mail?

- Et dernière question pour la route, quelle est la procédure pour que les messages d'alertes soient affichés à l'écran, suffit-il uniquement de désactiver "l'autopilot"?

Merci d'avance.

Yann A.

1 hour ago, Colass said:

Merci beaucoup pour votre réponse.

Effectivement j'ai fait une recherche de mon côté, leadplace travaille bien avec Adobe, c'est écrit sur le site d'Adobe lui-même, ils ont un partenariat.

Pour la deuxième page, Bitdefender n'indiquait pas qu'il s'agissait de phishing mais d'une page dangeureuse, mais effectivement, il est fort probable qu'il s'agisse d'une bannière ou d'une pub.

Par contre je suis régulièrement l'activité des tentatives de connexions sur ma boite mail, et il y a eu une tentative de synchronisation qui a échouée, mais la provenance (adresse IP qui ne vient ni de ma ligne internet, ni de ma ligne 4G) m'a alarmé. Surtout quand il est indiqué le nom du pays où la tentative a été réalisée.

Et comme par hasard, la tentative a eu lieu au moment où j'utilisais ma machine (que j'utilise très peu, une heure par jour, certains jours seulement). J'ai une double authentification d'activée (depuis plusieurs mois) et j'ai changé d'alias pour la connexion, j'ai interdis à l'ancien alias de permettre une connexion. C'est d'ailleurs une option très utile si on se trouve avec une adresse mail listée quelque part.

Donc même si les alertes précédentes sont des faux, j'ai des raisons de penser qu'il y a un loup quelque part.

Si je peux me permettre, j'ai 4 questions à vous demander:

- Sur quel site dois-je aller pour me faire aider et analyser ma machine (vous savez comme à une certaine époque avec les rapports HiJackThis)

- Quelle sont les réglages du pare-feu Bitdefender à faire pour que ma machine soit la plus "étanche" possible, car c'est une machine que j'utilise exclusivement pour le graphisme (à savoir uniquement surf avec Firefox et les fonctionnalités du créative cloud d'adobe)? N'y a-t-il pas des processus réseau comme svchost.exe que je suis obligé de laisser passer (ou d'autre fonctionnalité)?

- Est-ce que je peux utiliser SafePay pour renforcer la sécurité pour consulter ma boite mail?

- Et dernière question pour la route, quelle est la procédure pour que les messages d'alertes soient affichés à l'écran, suffit-il uniquement de désactiver "l'autopilot"?

Merci d'avance.

Bonjour,

Si c'est votre fournisseur d'email qui vous avertit de tentatives de connexion à votre ocmpte d'adresses ip inconnus, cela ne veut pas dire spécialement que votre système est compromis. Il faudrait regarder du côté des applications mobiles que vous utilisez, qui peut-être sont peut-être liées à ces tentatives de connexion. Mais je ne peux vous en dire plus sans avoir plus d'informations, notamment sur les adresses ip concernées.

Pour analyser votre système, vous pouvez utiliser Autoruns: http://download.sysinternals.com/files/Autoruns.zip

Ou Runscanner: http://www.runscanner.net/download.aspx

Au niveau du parefeu, il n'y a rien à faire de particulier au regard de cette situation. Oui vous pouvez utiliser Safepay si vous avez un doute sur votre connexion ou sur l'intégrité de votre système.

Les messages d'alertes qui apparaîtront à l'écran seront uniquement les plus importants, pour les url bloquées, il y aura uniquement au niveau du Widget ou au niveau de l'interface, un incrément du chiffre du nombre d'événement. Il n'y a que pour le pare-feu que vous pouvez avoir toutes les alertes de connexion, en activant le mode paranoïaque depuis les paramètres généraux.

Colass

Bonjour, merci de votre réponse.

Justement en ce qui concerne les applications mobiles, je les ai désactivées pour améliorer ma sécurité (plus de synchronisation possible, obligation de se logger).

ça a bien fonctionné parce que l'IP utilisée par mes appareils mobiles ont cessés les synchronisations, au vu du log de mon webmail.

Seulement j'ai eu une tentative, comme je vous le disais, venant d'une IP étrangère, à un horaire qui me parait coïncider de manière douteuse avec l'utilisation de ma machine (notamment les informations que je pouvais renseigner pour me logger à divers comptes). Ce n'est pas le fournisseur qui m'a alerté, c'est moi qui suit allé fouiller dans les LOG.

J'ai utilisé autoruns, il y a plusieurs lignes rouges, soit elles sont "le fichier spécifié est introuvable" ou "0/xx" pour ceux qui sont effectivement scannés par virustotal.

Est-ce que le forum du site Malekal est intéressant pour suivre des indications de scan/désinfection, ou y-a-t-il d'autres sites qui ont pignon sur rue?

Merci.

Colass

Je ne sais pas si il est possible de vous communiquer l'adresse IP, mais de manière non-public. Oui, comme vous l'avez remarqué je suis un peu paranoïaque concernant la sécurité...

Yann A.

18 minutes ago, Colass said:

Je ne sais pas si il est possible de vous communiquer l'adresse IP, mais de manière non-public. Oui, comme vous l'avez remarqué je suis un peu paranoïaque concernant la sécurité...

Communiquez la moi en privé (click sur mon nom puis "message privé") et idéalement une copie d'écran des alertes que vous avez reçu concernant cette adresse ip.