Blog

Une escroquerie dangereuse de phishing par validation de compte dépasse les filtres anti-spam des e-mails

escroqueries par phishing avec validation de compteVous voudrez peut-être commencer à examiner de plus près vos e-mails de confirmation. Il semble que certains sites Web n'aient pas réussi à sécuriser complètement leurs formulaires d'inscription, ce qui permet aux fraudeurs d'utiliser des sites Web peu sécurisés comme passerelle pour contourner complètement les filtres anti-spam. Le résultat? Liens de phishing contenus dans les e-mails de confirmation provenant de sites Web légitimes qui sont plus susceptibles d'aboutir à une tentative de phishing réussie.



Phishing par e-mail de validation

Cette tentative de phishing plutôt astucieuse a été portée à mon attention après avoir reçu un email de validation de la part du Archives des journaux britanniques (et a depuis été observé par d'autres, y compris développeur de logiciels antivirus Dr. Web ). Il convient de noter que British Newspaper Archive est un site Web entièrement légitime, sans spam ni opération d'escroquerie à notre connaissance. Nous n’avons jamais entendu parler du site Web auparavant, donc l’e-mail de validation de compte était suspect.

La première chose que nous avons faite a été ce que nous recommandons pour tous les courriers indésirables suspectés : nous avons vérifié l’adresse e-mail de l’expéditeur. Dans ce cas, tout a été vérifié.



La prochaine chose que nous avons vérifiée était les informations fournies dans le corps de l’e-mail. C’est ici que l’arnaque s’est révélée.

De nombreux sites Web vous demandent de soumettre votre prénom et votre nom dans un formulaire d'inscription, puis de vous envoyer un e-mail de confirmation ou de validation qui dit souvent, de manière amicale, « Cher Untel », avec des informations sur la façon de finaliser. le processus d’inscription.



Comparitech a découvert qu'un escroc peut utiliser le formulaire d'inscription à un compte d'un site Web légitime pour envoyer du spam ou des liens frauduleux au nom de l'escroc. Ils s'inscrivent avec l'adresse e-mail de la cible et mettent un lien de phishing dans le formulaire d'inscription qui sera inclus dans l'e-mail de confirmation.

Dans ce cas, l'escroc a utilisé mon adresse e-mail pour créer un compte, mais au lieu d'un prénom, il a inséré quelques mots choisis et un lien hypertexte cliquable :

arnaque par hameçonnage par e-mail de validation

De manière générale, rien ne peut empêcher quelqu’un d’utiliser votre courrier électronique pour s’inscrire sur un site Web. En fait, l’objectif d’un e-mail de confirmation est de servir de mesure de sécurité pour garantir que n’importe qui ne puisse pas utiliser votre e-mail pour créer un compte. De cette manière, le simple fait d’utiliser l’adresse e-mail de quelqu’un pour créer de faux comptes ne sert à rien, à moins que l’escroc n’ait également accès à votre compte de messagerie, ce qui en soi indiquerait un problème beaucoup plus important.

Dans l’exemple ci-dessus, le nom d’utilisateur, qui indique « Caras pron vid » (pron = porno et vid = vidéo), est quelque peu ridicule. Mais ce qui est troublant, c’est le fait que cet escroc a réussi à insérer un lien hypertexte fonctionnel dans le formulaire d’inscription à un compte d’un site Web légitime, qui a ensuite pu se rendre dans ma boîte de réception.

Pourquoi c'est un problème?

Cette arnaque particulière semble avoir profité de la mauvaise sécurité des formulaires Web, permettant à l'escroc d'insérer un lien suspect dans le formulaire et de contourner complètement les filtres anti-spam normaux. Étant donné que tout le reste du courrier électronique est légitime, les filtres anti-spam laisseraient passer les tentatives de phishing de cette nature, comme celle-ci.

Le lien qui m’a été envoyé ne semblait pas aussi malveillant qu’il aurait pu l’être. Pourtant, il est concevable que des escrocs puissent tout aussi facilement envoyer un lien qui exécute immédiatement le téléchargement d’un fichier de malware et de ransomware en utilisant simplement cette méthode. De plus, étant donné que l'e-mail provient d'une source officielle et dépasse les filtres anti-spam, auxquels la plupart des internautes font désormais confiance presque implicitement, une attaque de phishing bien coordonnée utilisant le formulaire d'inscription mal sécurisé d'un site Web pourrait entraîner un résultat supérieur à- taux de réponse moyen supérieur à celui de la plupart des tentatives de phishing par courrier électronique.

Comment les British News Archive ont-elles réagi ?

Suite à l'attaque de phishing, nous avons envoyé à BNA un e-mail via le formulaire de contact de leur site concernant le problème. Nous avons également envoyé un e-mail de suivi un mois plus tard, mais nous n'avons reçu de réponse à aucune des tentatives de contact.

Cela dit, BNA a pris connaissance du problème moins de 24 heures après qu’il se soit produit (18 février 2019). Le site Web a envoyé un e-mail à toutes les personnes concernées le 19 février :

Sécurité des formulaires Web BNA

Bien que nous n'ayons reçu aucune réponse à notre demande, le site Web a résolu son problème de sécurité d'inscription en temps opportun après l'événement.

Comment les utilisateurs peuvent-ils éviter le phishing par e-mail de validation de compte

À l’heure actuelle, il n’existe aucune méthode efficace que les utilisateurs peuvent utiliser pour empêcher ces e-mails de contourner le filtre anti-spam. Bien que les filtres anti-spam vérifient le contenu des e-mails à la recherche de mots, d'expressions et de liens suspects, l'un des principaux déclencheurs est l'adresse e-mail elle-même. Si l’adresse e-mail provient d’un site sur liste blanche ou semble tout à fait légitime, il est peu probable qu’elle soit arrêtée par un filtre anti-spam, même en présence d’un lien suspect dans le contenu de l’e-mail.

Votre meilleure option est de procéder comme suit :

  • Vérifiez que le site Web est légitime. Ne cliquez sur aucun lien dans l’e-mail de confirmation. Tapez plutôt le nom du site Web dans la recherche Google pour vérifier son existence.
  • Vérifiez le nom du formulaire qui a été soumis et qui est indiqué dans l'e-mail. S’il contient un lien à côté de l’introduction (« Cher X [hyperlien]), il s’agit probablement d’une tentative de phishing.
  • Ne cliquez PAS sur le lien. Au lieu de cela, contactez le site Web en question pour lui faire savoir que vous ne vous êtes pas inscrit pour créer le compte vous-même et donnez le nom d'utilisateur supposé qui a été répertorié pour vous inscrire avec votre adresse e-mail.

Heureusement, la plupart des sites Web nettoient leurs formulaires d’inscription, ce type de tentative de phishing est donc rare. Cependant, si les fraudeurs parviennent à trouver ne serait-ce qu’un seul site Web doté d’une sécurité Web faible, il leur est facile de créer un script capable d’exploiter cette erreur et de générer une attaque de phishing massive pouvant cibler des centaines, voire des milliers de personnes.

En rapport: Comment les cybercriminels mènent des campagnes de phishing

Comment les sites Web peuvent-ils sécuriser leurs formulaires d’inscription ?

D'un point de vue technique, ce qui se passe ici est un formulaire Web qui ne nettoie et ne filtre pas correctement ce que les utilisateurs soumettent. Cela permet également au formulaire d'encoder du HTML avant qu'il ne soit envoyé à l'utilisateur par courrier électronique, c'est pourquoi le lien apparaît sous la forme d'un lien hypertexte cliquable.

Après avoir reçu cette tentative de phishing, nous avons vérifié la sécurité du formulaire d'inscription de plusieurs autres sites Web. Nous avons repéré un problème similaire sur le site Web du service de streaming TV over-the-stop USTVnow. À cette époque, le site n'avait pas réussi à nettoyer correctement son formulaire d'inscription et permettait aux utilisateurs de saisir un lien HTTP dans le formulaire :

phishing par e-mail de confirmation

Nous avons contacté USTVnow à deux reprises suite à notre découverte. Notre première tentative a eu lieu immédiatement après avoir découvert la faille de sécurité, la deuxième fois un peu plus d'un mois plus tard. Aucune des deux tentatives n'a reçu de réponse liée au problème de sécurité, mais USTVnow a résolu le problème au cours du mois écoulé.

Dans le cas d’USTVNow, le lien n’était pas codé en HTML sous forme d’hyperlien, ce qui réduisait le risque, au moins marginalement.

Les sites Web peuvent éliminer ce problème en nettoyant leur formulaire Web PHP pour éliminer tout caractère inattendu, ou au minimum, en interdisant les adresses Web. La plupart des sites Web de premier niveau, tels que Google, Yahoo et Facebook, émettent immédiatement un avertissement si des caractères non autorisés sont saisis dans le formulaire d'inscription :

phishing par e-mail de confirmation

Il semble également que certains sites Web majeurs, comme Amazon, vous permettent d'insérer des entrées non standard dans le formulaire d'inscription, y compris des hyperliens, mais n'incluent aucun détail du formulaire dans l'e-mail de confirmation. Bien que cela soit inhabituel, cela rend au moins la tentative de spam inutile. Le lien n'apparaîtra que dans les détails de votre compte sur Amazon, et uniquement sous forme de texte :

phishing par e-mail de validation

Tout propriétaire de site Web ou équipe de développement devrait fortement envisager de vérifier rapidement le code PHP de son formulaire d’inscription de compte pour s’assurer qu’il est correctement nettoyé pour interdire les hyperliens.

Voir également:
Escroqueries par phishing courantes
Plus de 50 statistiques de phishing

^