Auteur Sujet: Phishing Truthsocial ! (Lu 437 fois)

alain_p · « **le:** 11 mai 2025 à 12:06:59 »

C'est anecdotique, mais je viens de recevoir un phishing sur l'assurance maladie, dont le véritable lien pointe sur truthsocial.com ! Amusant, je suis attaqué par Trump ! C'est la première fois que je vois un phishing avec un tel domaine... En France, ce n'est pas cela qui va le rendre plus crédible.

Sujet : Votre Assurance
Expéditeur : Ne-pas-répodre (jsantos@spacesaverpr.com)

Corps :
Nous rencontrons un problème avec votre carte actuelle. Veuillez mettre à jour vos données afin de continuer à profiter de tous les services de votre compte Ameli.

Cliquez sur le bouton ci-dessous :

Actualiser mes données

Nous vous prions de bien vouloir nous excuser pour les désagréments occasionnés et vous remercions pour votre collaboration.

Cordialement,
Votre Assurance Maladie.

Et lien pointe sur : https://links. truthsocial.com/link/1144783700669xxxxx

J'ai désactivé le lien

Si on regarde à quelle IP cela correspond :

Code: [Sélectionner]

$ nslookup links.truthsocial.com
Server:         1.1.1.1
Address:        1.1.1.1#53

Non-authoritative answer:
Name:   links.truthsocial.com
Address: 104.18.39.93
Name:   links.truthsocial.com
Address: 172.64.148.163

Les deux adresses appartiennent en fait à Clouflare (dans son range 172.34.0.0/13) :

Code: [Sélectionner]

$ whois 172.64.148.163
...
NetRange:       172.64.0.0 - 172.71.255.255
CIDR:           172.64.0.0/13
NetName:        CLOUDFLARENET
NetHandle:      NET-172-64-0-0-1
Parent:         NET172 (NET-172-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       AS13335
Organization:   Cloudflare, Inc. (CLOUD14)
RegDate:        2015-02-25
Updated:        2024-09-04
Comment:        All Cloudflare abuse reporting can be done via https://www.cloudflare.com/abuse
Comment:        Geofeed: https://api.cloudflare.com/local-ip-ranges.csv
Ref:            https://rdap.arin.net/registry/ip/172.64.0.0

Et le domaine est enregistré chez Tucows, à Toronto (Canada, le 51eme état...) :

Code: [Sélectionner]

$ whois truthsocial.com
...
   Domain Name: TRUTHSOCIAL.COM
Registry Domain ID: 1687853954_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.tucows.com
Registrar URL: http://tucowsdomains.com
Updated Date: 2024-03-20T13:43:05
Creation Date: 2011-11-18T19:13:50
Registrar Registration Expiration Date: 2032-11-18T19:13:50
Registrar: TUCOWS, INC.
Registrar IANA ID: 69
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Domain Status: clientUpdateProhibited https://icann.org/epp#clientUpdateProhibited
Registry Registrant ID:
Registrant Name: Contact Privacy Inc. Customer 0162686270
Registrant Organization: Contact Privacy Inc. Customer 0162686270
Registrant Street: 96 Mowat Ave
Registrant City: Toronto
Registrant State/Province: ON
Registrant Postal Code: M6K 3M1
Registrant Country: CA
Registrant Phone: +1.4165385457
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
...

alain_p · « **Réponse #1 le:** 11 mai 2025 à 12:51:34 »

En fait, le site Netxraft avait publié un article disant entre autre que truthsocial était utilisé pour des liens de phishing, par un acteur s'exprimant en français, se situant en Europe centrale :

Phishing for the Truth: Threat Actors Aim to Hide Phishing Links from Detection

Our analysis shows Truth Social is also being used to distribute phishing links. Netcraft has identified a French-speaking threat actor based in Central Europe, continually adapting their methodology and changing services and approaches.

This threat actor has utilized at least 7 Truth Social accounts since March 2024, with more than 500 “Truths” posted. Each account has been used to post Truths containing links that point to phishing sites.

...
In most cases, victims receive an unsolicited email saying their subscription for a service has expired and payment details must be updated. Once they log in, they are directed to a form to enter bank details to update their payment information. This login and payment information is then stolen. Here’s more detail on how it works:

Walking Through a Phishing Attack Using Truth Social

Threat actor sends a lure email from Jira Help or compromised webmail.

A victim receives the lure email telling them that their subscription to a platform is about to expire. By redirecting via Truth Social, the email can avoid being detected by email filters and anti-virus tools.

The victim clicks the link, which opens Truth Social and immediately redirects to the phishing page — without ever displaying the scammer’s Truth to the victim.

The victim finds themself on a login page that looks realistic. However, they could detect the attack if they check the URL carefully.

The victim enters their login details, which are always accepted regardless of what is entered.

The victim is then prompted to enter their banking details, purportedly to renew their subscription. The threat actor now has the keys to this bank account, enabling them to cash out in various ways — using the account to launder money, sell account details to other bad actors, clone debit or credit cards, and even empty accounts entirely.

These phishing sites are created using a range of (mostly free) hosting platforms and infrastructure, as well as link shorteners and free web page builders. The phishing sites are impersonating well-known brands, including Spotify, Disney+, EasyPark, Sky, Netflix, and Google, and targeting users in the United States, Australia, New Zealand, Spain, Norway, Francophone countries, and Germany.

https://www.netcraft.com/blog/truth-social-scam-threat-review/

Cela semble correspondre...

Nico · « **Réponse #2 le:** 11 mai 2025 à 12:52:44 »

Citation de: alain_p le 11 mai 2025 à 12:06:59

Et lien pointe sur : https://links. truthsocial.com/link/1144783700669xxxxx

C'est juste l'équivalent de https://t.co/xxxxxx de X non ? Un système qui remplace les URL des tweets pour faire du tracking (enfin historiquement c'était pour raccourcir l'url)

Il faudrait surtout voir vers quel URL ça renvoie ensuite, une fois redirigé.

alain_p · « **Réponse #3 le:** 11 mai 2025 à 12:58:09 »

Oui, d'après le post que j'ai cité au dessus, ce serait un système de tiny url utilisé par truth social.

alain_p · « **Réponse #4 le:** 11 mai 2025 à 13:33:50 »

On est redirigé vers : https:// bresgic-brooslaod[.]it[.]com/pages/billing.php

qui imite le site AMELI et qui a pour IP : 144.172.101.118.

Une adresse enregistrée aux Etats-Unis :

Code: [Sélectionner]

$ whois 144.172.101.118
...
NetRange:       144.172.64.0 - 144.172.127.255
CIDR:           144.172.64.0/18
NetName:        PONYNET-12
NetHandle:      NET-144-172-64-0-1
Parent:         NET144 (NET-144-0-0-0-0)
NetType:        Direct Allocation
OriginAS:       AS53667
Organization:   FranTech Solutions (SYNDI-5)
RegDate:        2014-05-07
Updated:        2014-05-07
Ref:            https://rdap.arin.net/registry/ip/144.172.64.0


OrgName:        FranTech Solutions
OrgId:          SYNDI-5
Address:        1621 Central Ave
City:           Cheyenne
StateProv:      WY
PostalCode:     82001
Country:        US
RegDate:        2010-07-21
Updated:        2024-11-25
Ref:            https://rdap.arin.net/registry/entity/SYNDI-5

alain_p · « **Réponse #5 le:** 11 mai 2025 à 13:36:43 »

IL est étonnant que le mail n'est pas étonné marqué comme spam par Free, vu que le mail venait d'une IP qui n'était pas enregistrée comme serveur mail pour le domaine :

Dans l'en-tête :
Received-SPF: softfail (mx22-g26.free.fr: transitioning domain of spacesaverpr.com does not designate 40.107.237.92 as permitted sender) client-ip=40.107.237.92; envelope-from=jsantos@spacesaverpr.com; helo=NAM12-BN8-obe.outbound.protection.outlook.co
...
X-ProXaD-SC: state=HAM score=59