Discussion :

[Gordon Fowler]

Phishing : une nouvelle technique se répand avec le HTML5
Elle contourne le blacklistage des URL malicieuses



Les spammeurs et autres cyber-escrocs se mettent eux aussi au HTML5 pour contourner les mesures anti-spam et anti-phishing de plus en plus répandues et efficaces des navigateurs et les clients de messagerie.

Au lieu d'intégrer aux mails des liens HTML classiques vers des pages souvent blacklistées, les spammeurs "modernes" privilégieraient désormais les « attachements HTML ». M86, la firme de sécurité met en tout cas en garde contre la recrudescence de ces menaces.

Les liens dans les mail pointent désormais vers des pages HTML jointe, qui contiennent les formulaire de phishing qui pointent à leur tour vers des scripts PHP ou autres hébergées sur des sites ou des serveurs légitimes piratées.

Ces scripts, qui ne font généralement qu'envoyer des mails et rediriger vers d'autres pages n'ont aucune visibilité et sont donc rarement blacklistées.

Une fois de plus, les criminels semblent particulièrement réactifs et parmi les premiers utilisateurs des nouvelles technologies (lire par ailleurs : ).

Les conseils pour se prémunir contre ses attaques pas encore détectées par les suites de sécurité (certaines campagnes de spam/phishing durent depuis plusieurs mois) sont les mêmes que d'habitude : ne pas ouvrir de mail suspecte, ne pas cliquer sur un lien suspect, rappeler que les institutions (comme les banques) n'utilisent jamais de lien ou de pièces jointes pour les opérations critiques, etc.

La plus grande faille mis à jour par ces nouvelles technologies se trouve en effet "entre la chaise et le clavier" pour reprendre une expression bienconnue.


Source : M86

Et vous ?

Qu'en pensez-vous ?

[bubulemaster]

Utiliser un navigateur non HTML5 comme IE 3 ou Netscape 1 voir même Mozaic

[Hellwing]

J'ai du mal à voir en quoi il s'agit d'une faille propre au HTML5.

[tchize_]

Quelqu'un peux m'expliquer le rapport avec HTML5? Il y a 5 an, mon thunderbird était déjà capable de m'afficher les attachements en html :/

A moins qu'il jouent sur une sorte de balise d'inclusion pour splitter le formulaire en petits morceaux et échapper à l'anti spam?

[nu_tango]

Hello,

This system avoids the HTTP GET request to the phishing site, thus avoiding being blocked by the browser

Que quelqu'un me corrige si je dis une bêtise, mais au lieu d'envoyer l'utilisateur sur une page avec le formulare dedans (ce qui se fait jusqu'à maintenant et ce que les navigateurs commencent à repérer/blacklister).

Le formulaire étant en local, le détecteur de phising du navigateur est inopérant... (de plus les pirates n'ont donc plus besoin d'héberger cette page du coup, c'est tout bénèf' pour eux)

Il reste juste à mettre le vieux bout script php ou autre sur la toile qui va récupérer les infos postées au clic

Après les pages de formulaires paypal avec une URL en file:/// c'est pas trop mon truc, mais il ne faut pas oublier que 95% des pb de sécurité se situent malheureusement entre la chaise et le clavier.

Quelqu'un peux m'expliquer le rapport avec HTML5? Il y a 5 an, mon thunderbird était déjà capable de m'afficher les attachements en html:/

Oui je vois pas le rapport avec HTML5 non plus.

N.B : J'ai l'impression que c'est en train tout doucement de faire la même que pour "Web 2.0", personne ne sait de quoi on parle mais ça fait bein d'en mettre partout

[pcdwarf]

Il n'existe pas d'antidote contre la connerie, ca se saurait.

Aucun systeme anti-phishing ne sera jamais fiable tant qu'il y aura des cretins pour croire immediatement tout ce qui est ecrit sur leur ecran d'ordinateur.

Neanmoins, quand on doit proteger les gens contre leur propre betise, on peut quand meme prendre quelques mesures qui sont certes strictes et autoritaires, mais qui evitent largement le pourissage, quitte à passer pour un gros parano (ce qui en informatique est plutot une qualité)

Premierement, quand on y reflechit bien, hors phishing et spam, il n'existe que tres peu de raisons à l'emploi d'html complexe dans les mails. mais, vu que la terre est peuplee de grands fans de la presentation chatoyante et qui revent de mails multimedias interactifs en 3d stereoscopique, reffuser les mails html reviens à peu pres à ne plus en recevoir du tout alors admettons. Cependant pour moi, il n'existe pas de raison serieuse pour qu'un mail contienne du javascript, des iframes, des formulaires, du flash, des images externes, ou tout autre element interactif susceptible de conduire à l'exploitation d'une faille ou meme simplement valider que le mail a bien été reçu. Ces mails là sont à detruire sans meme ouvrir tout comme ceux qui contiennent un lien dont le texte est une url et qui pointe vers une autre lien

alors pour moi, html5 ou pas... ca ne change finalement pas grand chose...

[tchize_]

Aucun systeme anti-phishing ne sera jamais fiable tant qu'il y aura des cretins pour croire immediatement tout ce qui est ecrit sur leur ecran d'ordinateur.

Et y a pas que les ordinateurs, j'ai encore trouvé dans ma boite à lettre en rentrant hier soir "docteur mwemba, grand marabout, fait revenir l'être aimé, fait revenir vos clients, etc etc etc"

Pas besoin de HTML5 pour exploiter les gens un peu faibles

[unnamed-anonymous]

Mail, boite aux lettres, sms, etc ... tant que le grand public ne sera pas un minimum sensibilisé aux risques ainsi qu'aux bonnes pratiques le phising aura de l'avenir !