Archive for phising

crns.fr!

Posted in Linux, University life with tags , , , on October 17, 2012 by xi'an

An email I got today from the CNRS  as forwarded by our computer engineer:

Bonjour,

Merci de prendre le temps de lire ce mail jusqu’au bout.

Nous vous mettons en garde par rapport au nom de domaine crns.fr (notez bien l’inversion des lettres).

Toute connexion ou requête vers une machine du domaine crns.fr, (suite par exemple à une malencontreuse inversion de lettres, erreur pouvant arriver à n’importe qui) aboutit évidemment sur une machine étrangère à notre communauté. Par conséquent, tout login et mot de passe (et toute autre information confidentielle) entrés sur la machine sont susceptibles d’être capturés pour exploitation ultérieure.

En particulier, toute connexion ssh envoyée vers une machine du domaine crns.fr aboutit et DEMANDE UN MOT DE PASSE, **quel que soit le nom de la machine**. Cela est EXTREMEMENT DANGEREUX ! On peut imaginer de la même chose le détournement des mails envoyés à une adresse @crns.fr.

This means that someone did register crns.fr as a valid domain and manages to steal login and password from anyone mistyping crns instead of cnrs…. I find this warning a bit dubious (a phising on hacking?!), the French being approximative and the email using CAPITAL letters, while the possibility of typing c.r.n.s. instead of c.n.r.s. is rather remote, if only because the n is typed by a right finger… Furthermore, if this domain is indeed using this homophony (or whatever is the right term!, anagramity?!) to steal accounts and information,  it should be open to prosecution and be closed (or, better, given to CNRS). However, I checked a fake CNRS subdomain with the inversion and did get the following message

jorasses:~/mybooks/core2$ ssh -X fictious.crns.fr
The authenticity of host 'fictious.crns.fr (176.74.176.167)' can't be established.
ECDSA key fingerprint is 31:88:94:86:cb:88:46:d5:7d:3d:70:a7:15:1a:be:e1.
Are you sure you want to continue connecting (yes/no)?
no
Host key verification failed.

that I obviously did not want to push any further! While I could have entered my true login and password at fictious.crns.fr, this does not mean much per se (even though the crns.fr site looks a wee insecure with all those similar links, it certainly does not try to pretend it is the Cnrs site).