Overblog
Suivre ce blog Administration + Créer mon blog
5 juin 2011 7 05 /06 /juin /2011 02:29

On ne le dira peut-être jamais assez, toute authentification devrait être sécurisée : au minimum, le mot de passe ne devrait pas transiter en clair sur le réseau ; et cerise sur le gâteau, il devrait être possible d'authentifier le serveur distant.

 

HTTPS répond à ces problématiques. Pour ce qui est des messageries grand public bien connues, l'on a vu GMail passer de HTTP à HTTPS il y a quelques temps. Et voilà que Microsoft (avec Live Mail) semble suivre le mouvement.

 

Jusque là, tout irait bien. Seulement, voilà le message qui apparaît quand on se connecte à un compte LiveMail non ouvert depuis quelques temps :

Connexion avec HTTPS 

En utilisant HTTPS, nous pouvons sécuriser votre compte, notamment contre les pirates informatiques, si vous utilisez souvent des ordinateurs publics ou des connexions sans fil non sécurisées.

Remarque importante : l'activation de SSL fonctionnera pour Hotmail sur le Web, mais entraînera des erreurs si vous essayez d'accéder à Hotmail via des programmes tels que :
  • Outlook Hotmail Connector
  • Windows Live Mail
  • L'application Windows Live pour Windows Mobile et Nokia

Si vous avez besoin d'une connexion HTTPS temporaire, entrez "https" devant l'adresse Web au lieu de "http".


 

 

 

Ainsi donc, sauf erreur ma part :

- si je force le HTTPS, alors je ne suis plus censé pouvoir utiliser les clients lourds ("intelligents" ou "paramétrables" ?) comme LiveMial (pourtant édité par Microsoft, justement)

- si je veux pouvoir continuer à utiliser LiveMail ou Outlook Hotmail Connector, il faut que je ne force pas le HTTPS, et que je le saisisse manuellement dans l'URL  (avec donc un certain risque de l'oublier...).

 

J'ai donc décidé de forcer le HTTPS, et ne peux que vous encourager à faire de même... et vais garder un oeil sur le sujet. Je prévois notamment un test avec Thunderbird...

A bon entendeur...!

Partager cet article
Repost0
26 mai 2011 4 26 /05 /mai /2011 22:45

Un contact, que je remercie au passage, m'a informé que sa compagne avait eu une petite surprise en voulant choisir "son activité" dans une SmartBox.

deface_romeo-juliette.fr_260511.JPG

Par les entêtes HTTP, il semble difficile de déceler si le serveur n'était pas à jour en termes de correctifs (ce qui aurait pu faciliter l'intrusion). Je vais revenir sur ce point plus bas.

 

Un Nmap donne un résultat assez surprenant, par prise d'empreinte (cf. The Art of TCP Scanning) :

 

C:\>"c:\Program Files (x86)\Nmap\nmap.exe" -O --osscan-guess www.romeo-juliette.fr

Starting Nmap 5.51 ( http://nmap.org ) at 2011-05-26 22:42 Paris, Madrid (heure dÆÚtÚ)

Nmap scan report for www.romeo-juliette.fr (82.165.52.73)

Host is up (0.12s latency).

rDNS record for 82.165.52.73: kundenserver.de

Not shown: 938 filtered ports, 57 closed ports

PORT    STATE SERVICE

21/tcp  open  ftp

22/tcp  open  ssh

80/tcp  open  http

81/tcp  open  hosts2-ns

443/tcp open  https

Device type: WAP|general purpose|firewall|broadband routerRunning (JUST GUESSING): Linksys Linux 2.4.X (99%), Linux 2.4.X|2.6.X (98%), Asus Linux 2.6.X (93%), Check Point Linux 2.4.X (90%)

Aggressive OS guesses: OpenWrt White Russian 0.9 (Linux 2.4.30) (99%), OpenWrt 0.9 - 7.09 (Linux 2.4.30 -2.4.34) (98%), OpenWrt Kamikaze 7.09 (Linux 2.6.22) (98%), Linux 2.6.9 - 2.6.21 (95%), Linux 2.6.19 - 2.6.24 (95%), Linux 2.6.18 (94%), Linux 2.6.20.6 (94%), OpenWrt Kamikaze 7.09 (Linux 2.6.17 - 2.6.21) (94%), Asus RT-N16 WAP (Linux 2.6) (93%), Linux 2.6.22 (Fedora 7) (93%)No exact OS matches for host (test conditions non-ideal).

 

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .

Nmap done: 1 IP address (1 host up) scanned in 24.22 seconds

 

 

Avec un autre scanner, LanSpy, il apparaît que le reverse DNS de l'IP du site est bien sur le domaine : kundenserver.de mais aucune bannière n'est récupérable pour les services actifs sur la machine.

Concernant l'adresse IP elle-même, elle apparatient à l'AS8560, située en Allemagne :

http://www.domaincrawler.com/82.165.52.73

Et avec Robtex, il semble que cette adresse IP soit largement sujette à mutualisation :

http://www.robtex.com/ip/82.165.52.73.html#shared

Liste de domaines "pointant vers la même adresse IP" :

1066artgallery.co.uk
1066artgallery.com
arabianweekends.com
architekt-mergel.com
bds-esc-rouen.fr
bonaventura-gymnasium.de
calindastudio.com
carthago-sb.de
catalystjobs.com
comcat4u.com
djk-aviation.co.uk
ehvw.biz
ehvw.net
elaart.com
emiliano-h.com
esm-mouthpiece.de
eventidee.net
forschungszentrum-ruhr.com
forschungszentrum-ruhr.de
forschungszentrum-ruhr.eu
fridaysound.com
fridaysounds.com
fz-r.com
harfieldpackaging.co.uk
harfieldpackaging.com
hm-interieur.de
hs-design-box.com
hsdesign.de
hsdesignbox.com
i4cem.com
i4cem.info
i4cem.net
i4cem.org
julesetcesar.com
kalkan-holidays.com
kephweb.info
label-design.com
liedergalerie.com
liedergalerie.de
lightfantastique.com
marketing-moderation.de
meliorator.com
mini-centre.co.uk
packung.com
pappelhof.biz
pappelhof.info
perfectweddingsandhoneymoons.com
perfectweddingsandhoneymoons.net
praxis-dermos.com
rbeckerweb.net
romeo-juliette.fr
siktalen.com
sithandone.fr
sporteventoftheyear.com
studiocalinda.com
subjektiveobjekte.com
taekwondo-rosny.org
thorsten-eberhardt.de
tiersarg.net
torschaenke.com
tourment.info
versicherte-gewinnspiele.com
versicherte-gewinnspiele.net
volk-s-wagen.com
www.sithandone.fr
www.thorsten-eberhardt.de
youlovefriday.com

En testant certains de ces domaines, dont http://label-design.com/, il semble que la compromission ne touche pas le serveur HTTP entièrement, mais uniquement certains des domaines qu'il héberge. S'agissant d'un Apache, on pourrait donc supposer que la compromission s'est limitée à un (ou plus) VirtualHost.

 

En poussant un peu plus loin l'investigation, on se rend compte que :

- le site défacé a été indexé par Google (donc le défacement ne date pas d'il y a quelques heures, à priori)

- il reste d'autres pages légimites du site (toujours accessibles via Google), exemple : http://www.romeo-juliette.fr/index.html. Donc tout le "virtualHost" Apache n'a pas été effacé...

- la page d'accueil index.php n'est en fait pas utilisée, et affiche un message intéressant :

index_romeo-juliette.fr_260511.JPG


En accédant à http://www.romeo-juliette.fr/index.html  là, magie, la page de défacement apparaît !

Evidemment, je déconseille d'accéder à ce type de sites compromis (à moins d'utiliser des configurations "durcies"), car leur code source "après altération" peut très bien contenir un petit code d'exploitation !

 

Maintenant, en considérant que la page "malveillante" injectée est en HTML, il est normal que les entêtes HTTP concernant le moteur PHP n'apparaissent pas.

 Le PHP est en version 4.4.9 ! 

 Merci à ACE pour m'avoir fait la remarque :)


Moralité : rien ne sert de durcir l'affichage de la version Apache et ses modules (par la directive ServerTokens, qui serait ici en "ProductOnly"), si le champ "X-Powered-By" des entêtes HTTP indique la version de PHP... idem pour les autres champs visibles dans les entêtes (notamment pour les CMS...).

 

Au passage, la page "index.html" injectée ne semble pas malveillante à première vue en parcourant le code source, ni d'ailleurs d'après VirusTotal :

URL Analysis tool Result
Avira Clean site
BitDefender Clean site
Firefox Clean site
G-Data Clean site
Google Safebrowsing Clean site
Malc0de Database Clean site
MalwareDomainList Clean site
Opera Clean site
ParetoLogic Clean site
Phishtank Clean site
TrendMicro Unrated site
Websense ThreatSeeker Clean site
Wepawet Unrated site
Normalized URL: http://www.romeo-juliette.fr/index.html
URL MD5: f94ecfd338a3f063f266d2022c69f5f5

Et Norton Safeweb ne donne rien non plus :

http://safeweb.norton.com/report/show?url=www.romeo-juliette.fr%2Findex.html


Partager cet article
Repost0
17 mai 2011 2 17 /05 /mai /2011 23:45

En circulation en ce moment !

Texte du SMS :

Vous avez reçu un message vidéo, pour le consulter: http://vvapvideo.com/a4869

Emetteur : +33664844033

 

On notera la ressemblance entre le "vv" de l'URL et un vrai "w", qui ferait donc "Wapvideo", certainement un terme connu (y compris du grand public)...

Quand on va sur le site en question (pas de chance pour les admins, c'était avec un vrai navigateur), voici ce qui apparaît :

vvapvideo.com_ie9_170511.jpg

Tiens, le service SMS+, déjà croisé pour des centres de téléchargements "gratuits et sécurisés" de logiciels, quelquefois sous licence (comme WinZIP ou WinRAR) ou pire, complètement libres (donc le simple téléchargement serait facturé plus de 3€ ??)

Les 3 liens qui sont visibles ont en fait pour commande : sms:81120?body=VIDEOX.

Donc, en fait, on envoie un SMS au numéro 81120, avec le code "X" de la vidéo... 

Le service est facturé à chaque fois plusieurs euros, et ici, c'est apparemment (cf. bas de page)  4€50 + prix du SMS lui-même !

 

En résumé, ne cliquez pas sur les liens et supprimez ce SMS.

De mon côté, je remonte l'échantillon au 33 700 (service de signalement national http://www.33700-spam-sms.fr/).

Partager cet article
Repost0
16 mai 2011 1 16 /05 /mai /2011 01:56

While surfing on the web (cf. previous post), I came to download a file that looked suspicious to me: Shopper Report (ShprRprt.exe)

Kaspersky Antivirus 2011, fully up to date, did not detect anything. But the problem is if I leave the file on my desktop, Windows Defender will detect a "adware:win32/ShopperReports"...

shoper-report_WinDefender_150511.jpg

Anyway, I decided to put the file into the KAV's quarantine. I failed to find the button "submit sample", but... I did hope it would be submitted automatically.

Well, 48hours after I put the file into the quarantine, KAV told me "there is no danger with the file, Kaspersly suggests me to restore it!"...

KAVV2011_Quarant-OK_shoperRprt_150511.jpg

 

Ermf... Altough KAV is up to date, and despite the fact that I accepted to be part of the Kaspersky Security Network (Cloud based antivirus analysis), KAV does not want to detect the sample...

Apparently the KSN did not help. How can a "lambda" user send a sample to the Kaspersky's labs? using GMail you may say? well no, since GMail does detect and refuses exefiles/suspicious files... and Hotmail/YahooMail tend to do quite the same.

 

Update:

Anyway, I found a mean to send the sample with a GMail account.

There is at the bottom of the Kaspersly labs' webpages the email address to send them a "new virus": newvirus@kaspersky.com

Then, you'll have to rename the file like: "exe" to "ex0". Then you zip it and set a password up (like "infected", very common to send samples to AV labs). Now GMail will accept the attachment. The pasword protected zip will also prevent other third party AV scanners to put the file in quarantine...

There we go!...

PS: for those that my interest, or that have a bit of VX history in mind, it seems that Shopper Report is related to 180Search Solutions, a quite well known malware I had studied in the past... It was said to be a visible part of a kindda mafia...! and there are other stories:

http://www.theinternetpatrol.com/search-marketing-company-180-solutions-sues-affiliates-over-botnet-installation-of-180solutions-software-on-users-computers/?amp;name=search-marketing-company-180-solutions-sues-affiliates-over-botnet-installation-of-180solutions-software-on-users-computers

What about right now?

PS #2: did I expose here a way to bypass GMail's filter for binary files? no way!

 

Update 2:

I got a reply for my email. They do provide a link to submit samples online:

http://support.kaspersky.com/virlab/helpdesk.html?LANG=en

And there is in fact a tool in the "Kasperky online user's profile", to do the same:

https://my.kaspersky.com/fr/support/viruslab 

I'm waiting for the Lab's response...


Update 3:

48h after I sent them the email, still no answer :(

   

Update 4 (29th of May, ToW): 

Still no answer for the sample sent by mail :(

But I've also sent a sample using the "My Kaspersky" portal (link: my.kaspersky.com), on the 27th of May, 10PM (Paris Time).

I got an answer, 29th of May 7PM:

Hello,

shprrprt.ex0 - not-a-virus:AdWare.Win32.
HotBar.dh
This file is an Advertizing Tool, it is detected by extended databases set. See more info about extended databases here: http://www.kaspersky.com/extraavupdates

Regards, Ilya Simonov
Virus Analyst


Well... the thing is that their FAQ only talks about KAV version 6 and 7. Mine is 11.0.2! Anyway, I did check, and I had already selected those "extra detection features".

I tryed to force the KAV definition update. But still, no detection of my sample. Even 7 hours after I received the mail, and once again forced updates, no detection. 

My guess: the definition update for my sample has not yet been put on the KAV updates servers... but what if I was really infected at the moment?

This is why it is quite important to check if the AV update is indeed available on the vendor's download servers, once you know they created a new signature. Because if you only rely on "AV automatic updates", you may face a few problems because the signature you need is not yet known to the AV product you use, despite its update checks...



Partager cet article
Repost0
14 mai 2011 6 14 /05 /mai /2011 01:41

KAV_OK_140511.jpg

To those who do not speak/read French, the screenshot proves that:

- KAV 2011 was updated the 12th of May, 10:40PM

- 2 days after that, the 14th of May, 01h40AM, Kaspersky still claims it is up to date!

- udpates are automatic, the default and recommended setting

Note the interface says "the computer is safe. Databases are up to date"...

In a world where antivirus definitions updates are provided quicker than every hour, I don't think more than 24 hours without any update could mean "computer is safe".

In a nutshell, it is not because your KAV says it does protect your antivirus at maximum that it is true...

Here is the proof of it:

KAV_OK_def_140511.jpg

 

After 10 minutes, KAV did start its automatic definitions update. Now, it claims to be "up to date", with a database file generated the 14th of May (ie: today!), 01:22AM!!

 

Update:

Now, taking that into account, a few advises:

- at the right moment the computer get internet connection, and beforce starting any network application (IM, browser, RSS reader, email client...): force Antivirus definition update.

- if your computer was in a sleep mode, or even in hibernation, then just the same: force the update at the right moment it has Internet access

- after the update process, make sure there is no need to reboot to "apply the update"

- then, your computer is preing protected the best your AV solution can

Partager cet article
Repost0
12 mai 2011 4 12 /05 /mai /2011 01:10

Configuration : W7 SP1, KAV 2011

Lorsque l'on imprime une facture depuis un navigateur (type Firefox 4), et via PDF Creator, alors Kaspersky émet une alerte indiquant que "pdfcreator ressemble à PDM.Invader":

KAV2011_Pdfcreator_PDM-invader.jpg

Ok, alors si je ne suis pas expert en virologie, "PDM.invader" késako ?

Quel est le risque réel ?

Pourquoi alerter pour une application aussi (re)connue que PDF Creator ? S'il y a un réel problème de sécurité avec ce logiciel, autant être clair et le bloquer réellement, me semble-t-il...

Noyer l'utilisateur sous les messages d'alerte n'est pas forcément le plus efficace, en sécurité.

Partager cet article
Repost0
11 mai 2011 3 11 /05 /mai /2011 23:47

KAV2011_certificat_expir_110511.jpg

 

To those who do not read French like easily ;), this screens comes from a Win 7 warning telling me that I should check the editor's identity of the file kav11.0.2.556FR-INT_213_VP.exe.

The certficate provided by KLabs to digitally sign the setup of KAV 2011 has expired on March 2011, the 8th...

But the software (and the file) is still being sold on the web...

How could we explain to users theyu should check carefully the digital signatures of the files they download/install after that?

NB: the version of the installer is 11.0.2.556.

 

Update 1:

 

After a few days without turning one PC, Kaspersky (and Windows) complains because it is "obsolete". Allright.

But when you launch the update, Win 7 displays a warning, to ask you for confirmation that you trust a Kaspersky file...!

 

Here are the (french version of the) warning, on the right, and the certificate details, showing it has expired since the 9th of March 2011...

KAV2011_certificat_wmiav.exe_270611.JPG

 


Partager cet article
Repost0
20 mars 2011 7 20 /03 /mars /2011 03:42

...et le mauvais élève du moment est : Finjan ! c'est à dire une société spécialisée dans la sécurité web...

Visiblement, les infrastructures de Finjan sont en train d'être reprises par M86Security....

 

Et voici ce que cela donne quand certaines précautions ne sont pas prises lors de la migration des certificats HTTPS (quand on utilise la barre d'outils Finjan Secure Browsing) :

msg_certif_Finjan_m86security_200311.jpg

Ou alors Finjan se serait-elle fait pirater ses serveurs ??

Plus sérieusement, comment expliquer une telle situation à un utilisateur lambda ? déjà que la sensibilisation (notamment aux "messages d'alertes" dans le navigateur) n'est pas simple...

Partager cet article
Repost0
16 mars 2011 3 16 /03 /mars /2011 23:58

I'm gonna deal here with a few tips to monitor, and even detect, real network intrusion cases.

 

Just for the records, Netbios is not a protocol, it is a network interface. NetBT (Netbios over TCP) is a protocol, for instance. Nowadays, MS networks use SMB shares and protocols.

 

Then, let me say that the Windows culture of a firewall tends to block almost every little packet that comes from the network, but not what goes from the computer to the network! Thus, even some kindda hardened Windows network configurations will just be verbose over the network, as soon as the RJ45 cable is plugged...

And that's just what we need to detect the intrusion!

 

 

First of all: protocols that are not related to pure MS Networks (ie: SMB):

 

- SSDP Enabled by default in Vista and Win 7. Multicast.

It is being sent as HTTP over UDP, port 1900. IP 239.255.255.250.

 

- Bonjour (Apple): Multicast DNS

It comes from Apple system, but also from Windows OS where users installed any of the Apple software: iTunes, QuickTime, Safari, MobileMe... (the service is called "Bonjour")

It is being sent over UDP, port 5353, IP 224.0.0.251.

 

- WPAD (Web Proxy Audto-Discovery): DNS resolution & NetBU/NetBT (resolution) broadcast 

It comes from computers where the option like "auto detect configuration" has been validated as a proxy configuration for the browser.

 

- DHCP (discover): It comes from computers set to automaticaly obtain network configuration through DHC.

It uses UDP, port 68.

 

- IGMP: It comes from many computers running different systems, and very often Apple software.

It is being sent over UDP, port 3702, to IP 239.255.255.250.

 

- WS Discovery: It comes from many computers running Vista/Win7.

It is being sent to IP  224.0.0.22,   and with requests like: "V3 Membership Report / Join group 224.0.0.252 for any sources"

 

 

 

Then, what to watch in a regular MS network environment:

 

- NBNS: computers that are connected to a network, with "MS networks" compliance, will broadcast their name over UDP, and port 138.  You'll see any computer's name within your network broadcast segment 

So, if you use Wireshark, I suggest you to set a filter like:

udp.port==138

 

 

- browser (NetBT): used when a computer wants to announces itself as a "Master browser" of a network. This is certainly not normal when there are WINS servers!

So the wireshark filter becomes:

udp.port==138 || browser

 

 

- LLMNR (RFC 4795): used when no local DNS was found on the network. It tries to convert names to IP (for example, regarding a Brother printer:  LLMNR  Standard query A BRN001BA927E1C9). Also works for WPAD requests. It is send to 224.0.0.252, port 5355 UDP. Multicast UDP

So the wireshark filter becomes:

udp.port==138 || udp.port==5355 || browser

 

 

- NCSI (Network Connectivity Status Indicator): comes vith Vista and Windows Seven systems. Used to detect/check network connectivity, meaning access to one txt file over HTTP, in Microsoft's point of view.
It is bieing sent first as a DNS request: DNS  Standard query AAAA dns.msftncsi.com.

Please note it is an IPV6 one, that could help to distinguish it from others.
Then, it attempts to download http://www.msftncsi.com/ncsi.txt, so that's: 131.107.255.255  over HTTP.

Obviously, on of the best places to monitor such requets is the firewall, not your own computer...
So, if there should be no Vista/W7 machines on your LAN, the wireshark filter could be: dns.qry.name==dns.msftncsi.com

Else, it is best IMHO to watch: ip.addr==131.107.255.255

 

 

 

- my own experience proves that there are a few transactions that use SMB. Therefore, the filter becomes:

udp.port==138 || udp.port==5355 || browser ||  smb

 

 

In a nutshell:

udp.port==138 || udp.port==5355 || browser || smb || udp.port==68 || udp.port==5353 || udp.port==1900 || udp.port==3702

 

 

- you should now exclude your own IP from the network capture (reminder of syntax: !(ip.addr== %your_IP%) )

 

You could say "hey, I don't mind, I use Linux"... well, pretty wrong, since as long as your linux system wants to be compliant with a Windows network, it will broadcast almost the same traffic than Windows boxes...I do detect intrusions concerning linux and Mac systems, with the same idea!

 

 

Now, here are a few requests that you could also watch, depending on what your standard master/configuration is:

 

- Google Desktop:

DNS    Standard query A desktop3.google.com

 

- Vista/Windows 7 money converter gadget (on the desktop)

  DNS    Standard query response CNAME money.service.co1.cb3.glbdns.microsoft.com

Response type A 65.55.17.39

 

 

 

 

To finish with, for this first run, I suggest to the network admin to keep an eye on:

- WINS servers' logs: Active directory unknown domains lookups, host announcements, master browser announcements

- DNS servers logs: (Active directory) unnkown domains lookups, unknown FQDN lookups

DNS watch was already mentioned in a MISC article, I dont remember the date nor the number (detect network intrusion with DNS).

   

 

Looking for some documentation?

http://support.microsoft.com/kb/188001

http://www.wireshark.org/docs/dfref/b/browser.html

http://isc.sans.edu/port.html?port=139

http://isc.sans.edu/port.html?port=138

http://isc.sans.edu/port.html?port=137

http://isc.sans.edu/port.html?port=445

http://www.hsc.fr/ressources/presentations/srv_res_win/srv_res_win.pdf

http://support.apple.com/kb/HT2463

http://www.tcpipguide.com/free/t_DHCPLeaseAllocationProcess-2.ht

http://msdn.microsoft.com/en-us/library/bb736562%28v=vs.85%29.aspx

 

 

 

 

 

 

 

Partager cet article
Repost0
8 mars 2011 2 08 /03 /mars /2011 01:47

Une fois n'est pas coutume, le courriel étant francisé (et non pas en bon Français, petite nuance), je vais donc publier l'article en Français, pour la communauté francophone... principale "cible" donc du courriel.

Il me semble que l'on peut qualifier cet échantillon de version Facebook du scam 419, en français dans le texte...

Que les amoureux du français châtié ne m'en veuillent pas, je vais publier "en l'état" le message, et certains passages sont assez loufoques (vive les traducteurs automatiques ?) :

 

Walter FrankMarch 8, 2011 at 12:00pm
Objet : hi
Bonjour,


Je travaille pour la nostalgie et annonce Photo Shop, une sortie de l'échelle des petites entreprises sans site web. Nous recherchons des photos de modèles amateurs que nous ne pouvons pas les moyens de payer top modèles professionnels.

Mon client veut mettre à jour leur carte Recharge téléphone (Lebara Uk) avec des photos de bonnes personnes à la recherche.

Je suis tombé sur votre photo de profil qui s'inscrit dans le type exact de la statistique nécessaire pour les affiches qui est la principale raison pour laquelle je vous ai contacté.

Votre visage ne figurent sur la carte de téléphone Recharge.

La rémunération totale pour l'emploi est £ 15,000 ou son équivalent dans votre devise et vous avez droit à 20% de cet argent.

Photos de l'affiche sera envoyée à vous avant qu'il ne soit lancé en avril.

Si vous êtes intéressé par cette opportunité, s'il vous plaît envoyez-nous vos photos de profil, tourné près de votre visage (surtout le visage) et de l'image complète de vous-même directement à ma boîte de réception. Email: (frankwalter1112 @gmail.com)

Alors que mon client sera en mesure d'en choisir un adapté à la carte de téléphone. Une fois que mon client a choisi l'image qui il aime mieux alors la prochaine sera de traiter votre contrat et le paiement.

Encore une fois, vos photos ne seront pas victimes de violence et nous nous assurerons d'un contrat est signé avec vous et que vous êtes payé avant qu'il ne soit utilisé. Une fois que je reçois votre photo dans mon e-mail je vais vous répondre dans les 24 heures pour vous faire savoir ce que le client dit et quelle photo qu'il a choisi.

Je me réjouis de votre réponse.

Merci et bonne journée.

Cordialement,
Frank Walter.
--------------------------------------------
Mise à jour, après quelques recherches d'informations et des commentaires :
- Surtout : ne vous impliquez pas là dedans, vous risqueriez d'être accusé de complicité ou recel
- Si vous avez commencé avec eux, faites un dossier avec TOUT ce dont vous disposez, et allez voir la police ou contactez l’OCLCTIC avec les pièces. Ils sauront quoi faire à partir des éléments factuels que vous apporterez.
- dans l'éventualité où vous avez réellement affaire à une organisation malveillante, je ne vous recommande pas de jouer au plus malin : passer du mode virtuel au monde physique, pour les menaces ou représailles, n'est pas si compliqué... 
- une petite lecture complémentaire : http://www.arobase.org/arnaques/porter-plainte.htm

Partager cet article
Repost0