Hameçonnage de Pâques

Symantec a collecté les tentatives d'hameçonnage infructueuses qu'il a découvertes ces derniers temps.

Il existe des centaines de kits de phishing prêts à l’emploi sur Internet. Début mars, une liste de plus de 400 liens circulait sur diverses listes de diffusion et forums. Certains « kits » sont créés en combinant des fichiers de commandes complexes et peuvent imiter plusieurs marques à la fois, et parfois même contourner les méthodes d'identification des utilisateurs à deux niveaux. Cependant, la grande majorité ne sont que des copies archivées du site Web original, complétées par des commandes PHP.

À l'approche de Pâques, Symantec a pensé dresser une liste des cinq « œufs de Pâques » les plus étranges observés dans les kits de phishing ces derniers temps.

Cinquième place : lien vers des images locales
Les hameçonneurs ne vérifient parfois pas que tous les liens ont été correctement convertis. Les paresseux regardent simplement l'onglet dans leur propre système pour voir s'il s'affiche bien. Cependant, cette méthode ne montre pas que certaines images, bien que bien affichées, sont chargées depuis leur propre système. Le résultat est un site de phishing qui manque d'images.

La dite Liens "Enregistré depuis"
Certains outils, comme Internet Explorer, affichent également le site Web lorsque la page est enregistrée. C'est un bon rappel de l'endroit à partir duquel la page a été téléchargée. Il va sans dire que de tels liens « enregistrés depuis » sur un site de phishing indiquent définitivement le caractère frauduleux de la page Web.

En troisième position se trouvaient les ensembles de phishing infectés par le code malveillant
Celui qui joue avec le feu se brûle facilement. Les hameçonneurs désactivent souvent l'antivirus sur leur propre système (s'ils en ont un installé) car ils ne veulent pas que leur dernière créature se déplace immédiatement vers des terrains de chasse éternels. Cela, bien sûr, signifie qu'ils doivent savoir ce qu'ils font, car les parasites venus d'ailleurs représentent également des dangers pour eux.

Le second est Google Analytics et les bannières publicitaires
Lorsqu'un hameçonneur copie un site Web original, il supprime généralement tout ce qui n'est pas vraiment nécessaire. Cependant, certains attaquants veulent rendre leur travail complètement réel (ou simplement négligent) et laisser tous les liens vers la bannière sur la fausse page. De cette façon, l'entreprise victime d'une arnaque peut même gagner de l'argent grâce aux publicités affichées. Certains hameçonneurs laissent même des liens Google Analytics sur le site Web afin que la véritable entreprise puisse ultérieurement analyser où les gens sont venus sur le site frauduleux.

Et la première place appartient aux portes arrière convaincantes
Un très grand nombre de kits de phishing prêts à l’emploi contiennent une porte dérobée. Dans ce cas, cela signifie que le fichier de commande enverra également toutes les informations d'authentification collectées à une autre adresse e-mail masquée. C'est ainsi que les phishers attrapent les pièges des phishers. Certains programmeurs essaient très bien de cacher la porte dérobée, par exemple en la déguisant en image ou en gâchant le code avec JavaScript. Souvent, les « auteurs » tentent de convaincre les phishers débutants de ne pas supprimer la porte dérobée, en leur disant que « cela sera utile pour l'arnaque ».