Western Union

Quand le mail de phishing contient le formulaire

Je ne fais ici que retranscrire une information de MXLab qui m’a semblé particulièrement intéressante. Ainsi dans cet article de leur blog, ils notent une recrudescence des emails de phishing qui intègrent le formulaire dans leur contenu.

En pièce attachée au courriel illicite, une page Web. Trois exemples sont donnés par MXLab:

  • le premier s’en prend à Western Union et récupère les pages de styles, javascript et bannières directement sur le site Web de Western Union, tant qu’à faire !
  • le second s’attaque à Paypal, et semble reposer sur le même principe ;
  • le troisième s’en prend encore à Paypal mais parait vouloir utiliser un autre type de page HTML, le MIME HTML dont l’extension est .mht et qui a la particularité de regrouper dans un même conteneur la page Web au format HTML et les images et autres fichiers à incorporer pour l’affichage de la page.

La conséquence évidente de ce développement est que dans la détection des mails de phishing il faut prendre en compte ce nouveau format, qui ne contient plus de liens URL éventuellement masqués.

Ensuite, cela simplifie le travail de l’hébergement du site de phishing qui ne fait que recevoir le résultat des formulaires, donc est particulièrement discret (au passage le site Web de phishing ne commet pas en tant que tel de contrefaçon des marques attaquées – telles que Paypal et Western Union), rendant d’autant plus complexe et difficile la fermeture de ces sites. En effet, pour expliquer à l’hébergeur qu’il doit fermer le site de phishing, il faudra lui montrer les mails de phishing, ce que fait le formulaire, etc… sans pouvoir lui montrer de page de phishing qui apparaissait jusqu’à présent de façon évidente !