Assiste.com
cr 23.05.2005 r+ 22.10.2024 r- 22.10.2024 Pierre Pinard. (Alertes et avis de sécurité au jour le jour)
Sommaire (montrer / masquer) |
---|
Ce site n'existe plus, mais reste une formidable démonstration de savoir-faire des cybercriminels et des manières dont on peut tromper et escroquer facilement des millions d'internautes, silencieusement.
Analyse de la page d'accueil du site « Protegezvotrepc.com ».
Vous pouvez tomber sur un site à priori intéressant. Regardez bien la page d'accueil de ce site :
protegezvotrepc.com à l'air propre. Il y a cette toute petite boîte avec un début de texte qui semble simplement donner le nom de la société éditrice de ce site. La boîte de texte est tellement microscopique que l'on ne peut rien lire en tentant de faire défiler le texte. Et il y a ce « Patientez ».
Pourquoi protegezvotrepc.com me demande de patienter ? Que se passe-t-il pendant que je patiente ?
Pourquoi protegezvotrepc.com cache quelque chose, tout en faisant semblant de l'afficher, dans cette microscopique boîte ?
|
Analyse du piège : site payant
Il existe un avertissement, mais il est caché.
Faire un clic droit dans la boite de texte Sélectionner tout clic droit Copier Ouvrir son traitement de texte favori (ou le bloc-notes de Windows : Notepad) coller le tout :
Voilà ce que l'on peut lire
Centre technique de paiement : Mediason . Contact : 04 56 58 94 00
0836012015 1,35 Euro TTC + 0,34 TTC Euro / Min
Pour accéder à ce service vous déclarez :
Avoir l'âge de majorité légale tel que défini dans votre pays.
Savoir que le site auquel vous avez accès par l'intermédiaire de ce dialer est un service payant.
La loi vous permet de télécharger, partager et utiliser uniquement les fichiers (Musique, Vidéo, Jeux, Logiciels...) dont vous possédez les droits d'utilisation ou diffusion.
Ne consulter ce service qu'à titre personnel
Vous engager à mettre en œuvre tous les moyens existants à ce jour pour empêcher un mineur d'utiliser votre ordinateur pour parvenir à ce service
Décharger l'éditeur de ce service de toute responsabilité si un mineur venait à accéder à ce site par négligence de votre part de quelque manière que possible.
Donc :
protegezvotrepc.com est un site payant et nous payons dès que l'on arrive dessus, avant d'avoir eu le temps de comprendre de quoi il retourne car le « Patientez », c'est le chargement automatique du dialer, coupure de la communication Internet et rappel d'un numéro lourdement surtaxé immédiatement.
Cet avertissement, bien que caché, est probablement prévu juste pour avoir le mérite d'exister et contrer toute attaqe en justice (encore que toute attaque en justice soit complètement hypothétique puisque l'escroc en question réside à Montévidéo, en Uruguay, comme on peut le voir en faisant un « WHOIS » sur le nom de domaine protegezvotrepc.com !).
Il y a un « interressant » avertissement d'interdiction aux mineurs. Pourquoi diable protegezvotrepc.com, un site théoriquement de sécurité informatique, serait interdit aux mineurs ? En réalité, protegezvotrepc.com appartient à une nébuleuse de sites dont plusieurs sont de type pornographique et le dialer utilisé est le même pour tous les sites de ce gang.
|
Prélèvement automatique sur votre compte sans votre accord !
Pour votre confort, votre accès sera reconduit à 39.98€ mensuel.
|
Je suis arrivé sur protegezvotrepc.com en faisant une recherche, avec Google, sur « EZ eTrust antivirus » et, effectivement, une URL de protegezvotrepc.com commence bien par eTrust-antivirus, mais on n'est pas du tout sur le site de eTrust (le site de la société Computer Associates [renommée depuis CA Technologies]).
h..p://etrust-antivirus.antivirus-protegez.com.ar/telechargements-etrust-antivirus/etrust-antivirus.php
Cette URL est une tromperie faisant apparaître 3 fois « eTrust-antivirus », un antivirus réputé, pare-feu et antimalware avec l'extraordinaire PestPatrol que vient de racheter Computer Associates le 16 août 2004. On est en 2004.
Lisons le code source de la page où nous sommes :
<iframe SRC="http://www.protegezvotrepc.com/entrer.php?w=1&c=n&id=frantivirus&m=s" ALLOWTRANSPARENCY="true" width="800" height="1000" frameborder="no" border="0" MARGINWIDTH="0" MARGINHEIGHT="0" SCROLLING="no" target="_blank"></iframe>
On voit immédiatement la présence d'un accès à un autre site, h..p://www.protegezvotrepc.com, dans un iFrame occupant la totalité de la surface-écran, donc on ne se rend pas compte du changement de site :
On remarque aussi la présence d'une balise « marquee », une balise non standard, ne fonctionnant que dans Internet Explorer, et permettant de faire défiler du texte. En regardant rapidement le code source, le texte soumis au défilement semble très long, mais de bon aloi - les liens donnés sont réels et vers des sites solides. Par exemple :
[PDF] S . G . D . N AVIS DU CERTA Gestion du document 1 Risque 2 ...Format de fichier: PDF/Adobe Acrobat - Version HTML
... CERTA Affaire suivie par : CERTA Paris, le 16 février 2004 N o CERTA-2004-AVI-040 AVIS DU CERTA Objet : Vulnérabilité de eTrust Antivirus Les informations ...
www.certa.ssi.gouv.fr/site/CERTA-2004-AVI-040.pdf
http://www.certa.ssi.gouv.fr
Il y a ainsi plus de 200 textes, soit plus de 1000 lignes, provenant d'une capture d'une recherche « eTrust-antivirus » avec Google. On va donc trouver dans cette page plus de 200 fois le terme « eTrust-antivirus ».
En regardant de plus près, le texte défile en noir sur fond noir (il sera donc invisible) et la balise « marquee » a une largeur de 5 pixels sur une hauteur de 10 pixels (elle est microscopique et indétectable). Donc la présence de cette capture n'est pas destinée au visiteur du site.
En réalité, le nom de l'URL qui contient « eTrust-antivirus » est du cybersquatting (une recherche Google permet de trouver qu'ils ont, à la date d'écriture de cette page, plus de 1840 pages avec des URL ainsi faites) et le contenu de chaque page de ce site contient plus de 200 fois le terme recherché. C'est du spamdexing afin de fausser les classements dans les moteurs de recherches. Le « poids » des mots « eTrust-antivirus » étant très important dans cette page, elle sera classée dans les premières réponses des moteurs de recherches. Je ne recopie pas le code source de cette page qui fait plus de 1000 lignes de long, certaines lignes étant, en plus, très longues.
En avril 2006, une nouvelle analyse fera ressortir que ce site pratique ce spamdexing à une échelle de plus en plus vaste et que les mots clés insérés sont aussi ceux des réels sites de sécurité ayant une bonne popularité. Ainsi, assiste.com fait les frais de cette technique qui vise à détourner le trafic Internet.
|
Revenons à notre dialer. Lecture du code source de cette page : h..p://www.protegezvotrepc.com
L'appel au chargement du dialer est immédiat avec incitation à cliquer sur un "Oui" (pour lancer la communication dont vous n'avez pas conscience) qui les « couvre » juridiquement (c'est vous qui avez cliquez sur « Oui ») s'il vous venait à l'idée de porter plainte après lecture de votre note de téléphone (mais allez porter plainte contre ce maffieux résidant à Montévidéo, en Uruguay !).
On remarque également la présence d'un lien vers la lecture des conditions générales sur le site bien connu h...tp://ip.sponsoradulto.com/terms.php dont le nom suffit à comprendre de quoi il retourne. C'est la même maffia du Net qui œuvre dans le sexe, les faux utilitaires de sécurité, les jeux d'argent et les faux médicaments.
La manière de nommer les fonctions et les variables utilisées fait penser à une origine espagnole (condiciones, datos, desinstalacion, estadoboton, no_cargar, conectar...). On remarque également que la détection ADSL (qui ne supporte toujours pas les dialers) renvoie vers une autre méthode de consultation payante du site. On remarque encore l'appel à des applets Java externes (fichiers .js).
|
Le coup du dialer est reconduit (ici il se casse la figure puisque un iFrame avec Firefox, ça ne marche pas mais 90% des internautes sont équipés IE !
Et un abonnement à près de 40€ par mois est sous-entendu )!
Le coup des logiciels avec pignon sur rue pour appâter le gogo et se donner une apparence de virginité est reconduit (Norton, ZoneAlarm etc. ...)
Le téléchargement des logiciels gratuits et des versions de démonstration, officiellement toujours gratuites, est payant sur ce site attrape couillons !
Dommage ! Il n'y a pas d'extraterritorialité de la justice, en France, pour poursuivre cette bande en Uruguay !
|
Il existe des centaines de milliers de sites entièrement construits pour détourner le trafic, capter l'internaute et le dirriger vers des sites pièges de e-commerce crapuleux ou de crapuleries pures et simples (jeux d'argents et casinos, faux médicaments, logiciels crapuleux, etc.). Ces pratiques (hormis celles utilisant des parasites implantés dans les ordinateurs des internautes, comme CoolWebSearch, le hijacker furieux) utilisent massivement le spamdexing (violation des automatismes des moteurs de recherche) et le cybersquatting (millions de sites mirroirs, spam des forums et des blogs, etc.).
Quelques milliers d'entre eux sont inscrits en liste noire dans la rubrique cybersquatting ou dans la rubrique crapware de notre liste hosts.
Analyse : un site semble pointer vers assiste.com
Il pointe vers assiste.com. Bien... me direz-vous. Nous allons donc en parler dans ce sous-forum consacré à ceux qui parlent du site.
Eh bien, pas du tout !
Vous avez déjà rencontré ce site : protegezvotrepc point com
Dans les années 2006 à 2008 on le rencontrait à tous les coins de rue sur le Web, dès que l'on faisaitt une recherche.
Il a plus de 800 domaines (sites) satellites qui pointent tous vers son site principal et il utilise intensivement les mots-clés dans les urls de ses noms de domaine (noms de site) afin de capter le maximum d'internautes en détresse, cherchant une solution sur Internet avec un moteurs de recherche, pour leur fourguer quelque chose dont des logiciels crapuleux.
Cela fait des années que ce site m'énerve avec ses ventes de logiciels crapuleux camouflés derrière des ventes de trucs à pignon sur rue genre Norton etc.
Son logo, vous l'avez connu dans toutes les langues :
Cet escroc est identifié :
Caetano, Martin domains@liveinteractive.net
Live Interactive S.A.
Wilson Ferreira Aldunate Nº 1342, Oficina 102
C.P. 11.100 Montevideo
Montevideo 11100
Uruguay
customer@spanetworks.com
Il se sert de la popularité d'Assiste pour détourner du trafic de la manière suivante :
Il réalise et met sur le Net des centaines de sites qui ne font, chacun, qu'une page ou quelques pages, avec quelques mots clé répétés plusieurs fois ce qui donne à ces mots du "poids" au sens des critères de réponses pour les moteurs de recherche comme Google.
Ces pages sont écrites spécialement pour tromper les moteurs de recherches et ne sont jamais vues par les internautes car elles sont recouvertes automatiquement par un autre site qui va s'afficher en pleine page dans un cadre (un frame d'un frameset) utilisant 100% de l'écran du visiteur.
Pourtant, les moteurs de recherche avancés, comme Google, savent "lire" les frameset. protegezvotrepc point com camoufle donc son frameset dans un javascript qui va le générer à la volée. Voici le code
<script language="javascript"> |
Que trouve-t-on dans cette page que personne ne verra ?
Une description du site :
<meta http-equiv="Content-Type" content=" antivirus gratuit telecharger gratuitement windows xp , telecharger panda antivirus gratuit , telecharger avast antivirus gratuit, antivirus gratuit telecharger gratuitement windows xp , telecharger panda antivirus gratuit , telecharger avast antivirus gratuit , telecharger antivirus serveur gratuit , telecharger antivirus avg gratuit , telecharger antivirus avast gratuit , telecharger antivirus anti pub gratuit , telechargement titanum antivirus gratuit , panda antivirus telechargement gratuit crack , northon antivirus telechargement gratuit , telechargement panda antivirus gratuit , telechargement antivirus complet gratuit , telechargement logiciel antivirus gratuit , telechargement gratuit panda antivirus , telechargement gratuit antivirus 2005 , panda antivirus gratuit en ligne , assiste.free.fr p antivirus gratuit ligne antivirus ligne.ph , symantec antivirus ligne gratuit , secuser antivirus gratuit ligne , antivirus gratuit ligne panda , antivirus and en and ligne and gratuit , telecharger antivirus gratuit norton , crack norton antivirus 2005 gratuit , norton antivirus gratuit telecharger , telechargement norton antivirus gratuit , mise jour norton antivirus gratuit , logiciel gratuit norton antivirus tele"> |
Puis, avec la balise h3 qui est une balise de "titre" en html ce qui donne, pour les moteurs comme Google, du poids aux mots qui s'y trouvent :
<h3>antivirus gratuit telecharger gratuitement windows xp , telecharger panda antivirus gratuit , telecharger avast antivirus gratuit , telecharger antivirus serveur gratuit , telecharger antivirus avg gratuit , telecharger antivirus avast gratuit , telecharger antivirus anti pub gratuit , telechargement titanum antivirus gratuit , panda antivirus telechargement gratuit crack , northon antivirus telechargement gratuit , telechargement panda antivirus gratuit , telechargement antivirus complet gratuit , telechargement logiciel antivirus gratuit , telechargement gratuit panda antivirus , telechargement gratuit antivirus 2005 , panda antivirus gratuit en ligne, assiste.free.fr p antivirus gratuit ligne antivirus ligne.ph , symantec antivirus ligne gratuit , secuser antivirus gratuit ligne , antivirus gratuit ligne panda , antivirus and en and ligne and gratuit , telecharger antivirus gratuit norton , crack norton antivirus 2005 gratuit , norton antivirus gratuit telecharger , telechargement norton antivirus gratuit , mise jour norton antivirus gratuit , logiciel gratuit norton antivirus tele</h3> |
Puis on trouve des liens dont Google analyse chaque mot de chaque URL, ce qui donne encore plus de poids à la page en question. Ici il s'agit de
"antivirus"
"gratuit"
"en ligne".
Bien entendu, toutes les urls elles-mêmes sont fausses (il ne s'agit tout de même pas de pointer réellement vers ses concurrents et de leur donner de la popularité au sens de Google ! Pas fou du tout le protegezvotrepc point com - les "/" sont remplacés par des "_", les préfixes http et www. sont ignorés et une lettre est perdue) mais tous les mots clés ont été utilisés pour détourner le trafic (par exemple de ceux qui cherche la fabuleuse page des antivirus en ligne gratuits d'assiste.com) :
telecharger gratuitement windows xp |
Le code complet avec les liens est :
<a href="antivirus_gratuit_telecharger_gratuitement_windows_xp/">antivirus gratuit telecharger gratuitement windows xp</a> |
Ci après, comparez le pseudo lien destiné à tromper Google puis le lien complet : c'est exactement la même chose, y compris les hiérarchies de mes répertoires ! Il recopie textuellement les urls des sites dont il veut détourner le trafic ! Pour Google, par exemple, c'est la même chose puisque les caractères "/" ou "_" sont ignorés.
assiste.free.fr_p_antivirus_gratuit_ligne_antivirus_ligne.ph
http://assiste.free.fr/p/antivirus_gratuits_en_ligne/antivirus_en_ligne.php
Puis il recommence une troisième fois avec un paragraphe qui reprend le truc en <h3> vu ci-dessus. Ce qui donne, lors d'une recherche Google !
Et dans le cache de Google, ce qui a éveillé ma suspicion
Les domaines suivants, tous appartenant à ce gang, ont été ajouté dans la liste hosts
eresmas.com #tracking de protegezvotrepc (et de Wanadoo ?)
protegezvotrepc.com #crapware #tracking #cybersquatting
iris301.en.wanadoo.es #crapware #tracking #cybersquatting
tele67.en.wanadoo.es #crapware #tracking #cybersquatting
proteccionparatupc.com #crapware #tracking #cybersquatting
antiviruspourpc.com #crapware #tracking #cybersquatting
buscaprograma.com #crapware #tracking #cybersquatting
phoneaccess.com
absolutemessenger.com
onestepdownloads.com
gigsofdownloads.com
utilitairespc.com
absolutemessenger.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
alledownloads.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
antivirusinsurance.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
antiviruspourpc.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
baixetudo.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
buscaprograma.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
customer.spanetworks.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
eresmas.com #tracking de protegezvotrepc (et de Wanadoo ?)
gigsofdownloads.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
iframe.phoneaccess.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
iris301.en.wanadoo.es #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
kampfgegenviren.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
members.antiviruspourpc.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
members.utilitairespc.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
notice.phoneaccess.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
onestepdownloads.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
phoneaccess.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
proteccionparatupc.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
protegezvotrepc.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
protejaseupc.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
secure.spanetworks.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
tausendedownloads.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
tele67.en.wanadoo.es #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
tuttigliantivirus.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
utilidadesparatupc.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
utilitairespc.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
utilitapc.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
paycom.net #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
signesduzodiaque.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
sync2it.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
telecharger212.bravehost.com #crapware #tracking #cybersquatting #nébuleuse protegezvotrepc.com
Le site iris301, dans la nébuleuse protegezvotrepc point com, comporte, à lui seul, 38 pages interceptant le trafic d'Assiste de cette manière. Voici quelques résultats Google
Autre danger :
Un annuaire pour enfants pointe vers ce site : annuaire-enfants-kibodio.com
http://66.249.93.104/search?q=cache:XbGvEQbdaA4J:www.annuaire-enfants-kibodio.com/informatique/+%22protegezvotrepc.com%22&hl=fr&gl=fr&ct=clnk&cd=3
or ma première dénonciation de ce site était, entre autres, pour usage de dialer.
Il va falloir tenter d'identifier tous ses domaines et ses machines et mettre tout ça en liste noire.
|
protegezvotrepc.com implantation d'un dialer
Les encyclopédies |
---|