NozZy
Writeups Articles Tags Categories ./aboutme
NozZy

Contents

Traque Au Scammer

 included in Writeups AMSI CTF 2024
   574 words   3 minutes 

AMSI CTF - Traque Au Scammer

Category

OSINT

Description

Un escroc donne du fil à retordre à la C3N, notamment car ils n’ont plus de budget pour engager un expert OSINT. Heureusement que vous êtes là avec un peu de temps libre ce week-end ;) Une victime auditionnée leur a fourni l’image que l’escroc envoi après avoir chaque escroquerie. Ses méfaits se concentrent principalement sur du phising puis du vol de crypto-monnaie. Le C3N compte sur vous pour retrouver son adresse et son prénom.

Format du flag : AMSI{adresse_prenom}

Exemple : AMSI{Montpellier-12-rue-Claret_Roger}

Files

FCKY.png

Difficulty

MEDIUM - 500 points

  • Author: Flavio - flav-sns
Description
Description

Write up

Little punk

On commence avec une photo assez générique d’un meme, le contenu ne nous aidera pas à identifier le scammer.

En revanche, ce petit malin à signer son image de son nom :

Exiftool
Exiftool

Petit coup de recherche d’username avec whatsmyname, et on trouve que ce malin possède un compte github :

whatsmyname
whatsmyname

Le scammer de crypto

On peut alors se balader sur ses repos, et ses commits. Evidemment que l’on trouve quelque chose d’intéressant dans ce commit :

Le commit
Le commit

On possède alors sa “drain address”, qui est une adresse crypto utilisée pour voler les gens : 0xd9A1C3788D81257612E2581A6ea0aDa244853a91

Le site que je recommande, et qui m’a été utile est etherscan, on trouve sur la page de son adresse certaines infos :

Etherscan
Etherscan

On a donc bien un rappel qu’il s’agit de scam, alors on peut rechercher des Database de report d’adresse crypto.

ChainAbuse
ChainAbuse

On n’y trouve aucun report (avant la fin du CTF, il y en a eu depuis par les joueurs).

No report
No report

La solution se cache dans le fai que notre adresse est liée à une autre, qui l’a fourni en argent :

Feed address
Feed address

On recherche alors cette adresse 0xDCddc9287e59B5DF08d17148a078bD181313EAcC sur CoinAbuse

Report
Report

Sa petite vie sur internet

On a donc la source de la personne qui a report : https://x.com/LDfmf4883

Le compte Twitter est assez vide : pas de post, pas d’archive, pas de liste, rien. Seulement des abonnements.

Regardez qui voilà :

Abonnés twitter
Abonnés twitter

Le retour de notre ami le scammer, et il se plaint sur son compte twitter d’avoir perdu son adresse crypto entre autres.

Par contre, on retrouve un petit commentaire sympa sur un de ses posts :

Post scam
Post scam

Cette personne s’appelle alors Philipe, et possédait un petit compte perso, qui est évidemment supprimé désormais :

Compte supprimé
Compte supprimé

En revanche, une archive existe, mais pas sur archive.org, uniquement sur archive.ph (archive today) :

Archive
Archive

On a donc une image, prise à priori devant chez lui, avec des infos importantes :

  • Boutique “Mag’ Occaz”
  • Une fileuse de verre
  • Une cordonnerie, à l’adresse où habite le scammer

https://archive.ph/tvNKB/f6eb1b708ad0df0f7a3644331bb84e18019a1dc4.jpg

Alors ensuite, pour trouver le lieu, je ne vous raconte pas par quoi je suis passé.

Bon ok je vous dis :

  • pappers.fr → trouvé aucune boutique
  • pages facebook → pareil
  • reverse image (google, bing, yandex) → pas trouvé perso (askip on pouvait)
  • overpass turbo → aucun résultat probant
  • mots clé sur Google et Google Maps → boff boff

Comment j’ai trouvé ?

Google Images
Google Images

Lien de l’article : https://www.lamontagne.fr/saint-flour-15100/actualites/le-nouveau-reseau-electrique-de-la-rue-marchande-inaugure_11425042/

On apprend que ça se passe dans la ville de Saint-Flour !

On peut alors chercher la fileuse de verre, le Mag’ Occaz, ou direct la cordonnerie, mais on finira bien par la trouver :

Street View
Street View

Adresse
Adresse

Nous voici chez le cordonnier, au 34 rue Marchande, à Saint-Flour

Flag
🚩 AMSI{Saint-Flour-34-rue-Marchande_Philippe}
Updated on 01-12-2024
 OSINT
Back | Home