<Thread>
1/ Ce matin, @ebothorel a signalé 2 sites qui surfent sur le #COVID19 pour arnaquer les gens sous couvert de vente de masques et de gel hydroalcoolique.
Suivez ce thread, nous allons retrouver les *** qui profitent de cette crise sanitaire pour escroquer les gens
1/ Ce matin, @ebothorel a signalé 2 sites qui surfent sur le #COVID19 pour arnaquer les gens sous couvert de vente de masques et de gel hydroalcoolique.
Suivez ce thread, nous allons retrouver les *** qui profitent de cette crise sanitaire pour escroquer les gens
2/ Les points de départ de cette affaire sont les 2 sites ma-petite-pharmacie.fr et combattonslecoronavirus.fr. Une simple visite sur les sites en question permet de voir qu'ils sont similaires. Seuls les logos changent 
3/ Lorsque l'on utilise WHOIS pour obtenir les infos sur les sites on obtient le même email, même nom et même numéro de téléphone
4/ Le nom utilisé pour enregistré les domaines, "enzo later", est un pseudo. Il fait probablement référence au personnage de Enzo dans la série canadienne ReBoot en.wikipedia.org/wiki/ReBoot
5/ Quand on fait une recherche inversée WHOIS sur le numéro de tel ou le nom utilisé pour enregistrer les 2 sites, on obtient les sites suivants:
- pygermain.fr
- e-sante-france.fr
- joli-bikini.fr
- pygermain.fr
- e-sante-france.fr
- joli-bikini.fr
6/ Le gestionnaire de ces sites fait donc également dans la vente de bikini. De plus, on notera la similitude de e-sante-france.fr avec nos 2 sites de départ
7/ En faisant une recherche WHOIS inversée sur l'adresse email utilisé pour enregistré nos 2 sites de départ, on obtient d'autres sites:
- e-shop360.fr
- hack4me.is
- socialhack.gdn
- e-shop360.fr
- hack4me.is
- socialhack.gdn
9/ En utilisant WHOIS pour obtenir les infos sur le site on obtient un élément nouveau. On voit que la personne qui a enregistré ce site a déclaré comme société "ECOM INTERNATIONAL".
10/ "ECOM INTERNATIONAL" est une société Francaise dirigé par un certain Victor Gros.
11/ L'adresse de la société est l'adresse d'une agence parisienne dans le 16eme qui fait de la domiciliation d'entreprise abcliv.fr/agence/111-av-…
12/ Victor a également une autre société qui s'appelle: "LA COMPAGNIE QUI ROULE" societe.com/societe/la-com…
13/ Notre ami arnaqueur est un récidiviste. Il s'est fait épinglé par @adclorraine, une association de défense de consommateur. Plusieurs actions en justice sont déjà en cours contre M. Gros.
14/ Je vous conseille de lire le document d'ADC France qui retrace une partie des activités de M. Gros adcfrance.fr/commande-livra…
15/ En fait, regardons ce qui sort en 1er sur Google quand on cherche "gel hydroalcoolique".
ma-petite-pharmacie.fr un de nos 2 sites de départ.
ma-petite-pharmacie.fr un de nos 2 sites de départ.
16/ Revenons à ce tweet. Nous allons nous intéresser à hack4me.is
17/ hack4me.is est un site qui vous permet de "Pirater un compte Facebook en 2020"... Victor Gros est aussi un hacker apparemment...
18/ "Hack4me vous permet de récupérer un compte Facebook en quelques minutes juste à partir de l'ID"
"Notre Shellcode utilise les derniers exploits de Facebook afin de retrouver le mot de passe du compte ciblé"
Excusez moi je dois aller vomir
"Notre Shellcode utilise les derniers exploits de Facebook afin de retrouver le mot de passe du compte ciblé"
Excusez moi je dois aller vomir
20/ Les conditions générales sont hallucinantes:
- "Le site obtient seulement les informations publiques du compte Facebook, fourni publiquement par Facebook.com via son outil facebook Open Graph"
- "Le site web n'encourage en aucun cas ni le piratage"
- "Le site obtient seulement les informations publiques du compte Facebook, fourni publiquement par Facebook.com via son outil facebook Open Graph"
- "Le site web n'encourage en aucun cas ni le piratage"
21/ M. Gros fait donc payer un service publique gratuit 😡 #NoShame
22/ Penchons nous sur socialhack.gdn
23/ Le site n'est plus actif mais grace à @internetarchive on peut voir qu'en 2017, il vous promettait de "Pirater un compte Facebook en 2017" web.archive.org/web/2017031817…
24/ En 2018, il était redirigé vers theft4me.is qui a exactement la même tête que hack4me.is web.archive.org/web/2018032018…
25/ Les conditions générales de theft4me.is sont lunaires: "ce site se veut une imitation réaliste d'une tentative d'audit de sécurité informatique sur le compte ciblé par le visiteur mais ne peut en aucun cas y être assimilé !"
26/ Revenons maintenant sur l'adresse email utilisé pour enregistrer nos 2 sites de départ
27/ Lorsque l'on fait une simple recherche Google on obtient les résultats suivant.
28/ On peut s'apercevoir que le pseudo "FACECKEAR" revient souvent dans les résultats car il est associé à cette adresse email comme on peut le voir sur ce profil.
29/ Notre ami a eu la main lourde sur le spam dans un forum est s'est fait flagger son IP par ce site stopforumspam.com/ipcheck/79.81.…
30/ Le pseudo faceckear ne vient pas de nulle part. Le site faceckear.com vous promet de "Hackear Facebook"
31/ D'après le classement Alexa, le site est actuellement 712,006. Il était 128,091 il y a 1 mois et demi. Ce qui signifie un très grand traffic sur ces sites... alexa.com/siteinfo/facec…
32/ Toutes les bonnes choses ont une fin. La bise Victor 😘. En espèrant que tes activités illicites en pleine crise sanitaire mondiale t'empêche de dormir un jour
</Thread>
Je viens de me relire, dsl pour les fautes...
PS 1: En effet, un Julien Lebaume apparaît dans les conditions générales de ma-petite-pharmacie.fr
En cherchant ""Julien Lebaume" "SAS ECOMMERCE INTERNATIONAL"" sur Google on obtient un nouveau site francesante.info
En visitant le site francesante.info on voit bien qu'il est identique à nos 2 sites de départ
Pour répondre à la question de @FDesmoulins: qui est Julien Lebaume? Difficile a dire sans plus d'éléments. "E-COM INTERNATIONAL" ayant 6 à 9 salariés on peut émettre l'hypothése que ca soit un des salariés
PS3: Des infos sur la procédure collective qui a été entamé contre M Victor Gros pour les arnaques de ventes de trotinettes et autres gadgets...
PS4: @GGtld a trouvé 4 sites de la même famille, similaire à nos 2 sites de départ:
- my-natural-shop.fr
- apothecal.fr
- combattonslecoronavirus.fr
- laboutiquedesaccessoires.fr
- my-natural-shop.fr
- apothecal.fr
- combattonslecoronavirus.fr
- laboutiquedesaccessoires.fr
