Les cybercriminels sont toujours à la recherche de nouvelles façons d’aider leurs tentatives de phishing à contourner les moteurs antivirus et joindre des documents HTML à un e-mail est une technique de plus en plus utilisée pour ce faire.
Au lieu d’insérer des liens vers une page de phishing dans le corps d’un e-mail où ils seront probablement trouvés par les filtres de messagerie, les pièces jointes HTML malveillantes facilitent le camouflage du contenu de phishing.
Selon Kaspersky, il existe deux principaux types de pièces jointes HTML utilisées par les cybercriminels : les fichiers HTML avec un lien vers un faux site Web ou une page de phishing à part entière. Le premier type permet à un attaquant de masquer un lien dans le fichier joint ainsi que de rediriger automatiquement une victime potentielle vers un site frauduleux, tandis que le second type de pièce jointe HTML permet à un attaquant d’éviter la création d’un faux site Web tout en économisant sur les coûts d’hébergement Web.
Les pièces jointes HTML malveillantes constituent une menace croissante et rien qu’au cours des quatre premiers mois de cette année, Kaspersky a détecté près de 2 millions d’e-mails qui en contenaient.
Masquer les pages de phishing dans les pièces jointes
Le contenu de phishing trouvé dans les pièces jointes HTML est généralement écrit en JavaScript afin de gérer la redirection des utilisateurs vers des sites de phishing ou de récolter leurs informations d’identification. Généralement, la page HTML envoie des données à une URL malveillante qui est spécifiée dans le script lui-même. Cependant, si une pièce jointe contient des scripts ou des liens malveillants en clair, un antivirus et d’autres logiciels de sécurité peuvent la bloquer. C’est pourquoi les cybercriminels utilisent à la place l’obfuscation JavaScript.
Cette technique implique de déplacer le code de manière à ce qu’il soit difficile à lire et à comprendre. Alors que certains cybercriminels le font manuellement pour rendre le code d’origine plus difficile à restaurer, d’autres s’appuient sur un certain nombre d’outils prêts à l’emploi pour le faire.
Une autre tactique utilisée pour masquer le contenu de phishing dans les pièces jointes des e-mails consiste à encoder ou à compresser leur code afin qu’il apparaisse beaucoup plus petit qu’il ne l’est réellement. Dans un cas récent, Kaspersky est tombé sur un e-mail avec une pièce jointe HTML malveillante contenant une page de phishing à part entière encodée dans un minuscule script de deux lignes.
Comment repérer un site ou un e-mail de phishing
Les sites d’hameçonnage sont de toutes formes et de toutes tailles, mais ils sont souvent conçus de manière à imiter des pages Web légitimes afin que les utilisateurs n’hésitent pas à entrer leurs informations d’identification. Même si un cybercriminel fait une copie presque identique de la page Web d’une entreprise, la recherche de fautes d’orthographe sur la page elle-même ou la vérification de son URL dans la barre d’adresse de votre navigateur peut être un révélateur qu’il s’agit d’un faux site.
Pour éviter que les identifiants de vos comptes en ligne ne soient volés par des cybercriminels, vous devez dirigez-vous toujours vers la page de connexion d’une entreprise via son site Web ou via un moteur de recherche par opposition à votre e-mail. De cette façon, vous saurez que vous allez sur le site réel au lieu d’un faux site usurpant l’identité d’une marque ou d’une entreprise.
En ce qui concerne les e-mails de phishing, vous devez toujours éviter d’ouvrir les e-mails d’expéditeurs inconnus. Une autre astuce utilisée par les cybercriminels pour vous attirer consiste à instiller un sentiment d’urgence dans leurs messages. Les entreprises et même le gouvernement vous demanderont rarement, voire jamais, de répondre à l’un de leurs messages en temps opportun. Dans le même temps, il convient de noter que certaines organisations gouvernementales comme l’IRS ne vous contacteront jamais par e-mail et que tout problème avec vos impôts vous sera plutôt communiqué par courrier.
Pour éviter d’être victime d’escroqueries par hameçonnage, vous devez éviter d’ouvrir les e-mails d’expéditeurs inconnus et cela vaut également pour toutes les pièces jointes qu’ils contiennent. Bien que les fichiers Word, PDF et autres documents bureautiques soient généralement joints aux e-mails, très peu de personnes les envoient sur des sites Web sous forme de pièces jointes HTML et si vous voyez un e-mail avec un dans votre boîte de réception, vous pouvez être presque certain qu’il s’agit d’un e-mail de phishing.
Comme le phishing est souvent utilisé pour voler les informations d’identification pour commettre une fraude ou même un vol d’identité, vous pouvez utiliser un gestionnaire de mots de passe pour stocker vos mots de passe en toute sécurité et même générer des mots de passe forts et complexes pour chacun de vos comptes afin de les rendre plus difficiles à déchiffrer ou à deviner.