Les attaques de phishing ciblant les détenteurs d 'une carte Visa® se multiplient

Les détenteurs d 'une carte Visa® ont été la cible de deux campagnes de phishing ce week-end. Si la première vague de phishing ne concerne que les utilisateurs de Visa® résidant en France et est basée sur une fausse page de connexion hébergée sur un domaine spoofé, la seconde est bien plus élaborée et a été préparée avec soin.

Afin de convaincre les victimes de remplir le formulaire, le message de spam qu 'ils reçoivent les avertit que toute non réponse conduira à la résiliation du service et, par conséquent, à la clôture de leur compte bancaire. Les cybercriminels à l 'origine de ce type d 'attaques exploitent généralement la peur des utilisateurs de perdre l 'accès à un service pour les forcer à divulguer des données sensibles.
Alors que la première tentative de phishing exploitant la marque Visa® est fréquente et relativement simple à contenir (principalement en résiliant les services du site Web hébergeant la page web ” spoofée “), l 'exemple qui suit est bien plus difficile à détecter et à bloquer en temps voulu.
Cette campagne de spam contacte également ses victimes via un e-mail de spam. Le message s 'adresse à tout utilisateur Visa® souhaitant gagner 50 dollars en répondant à un questionnaire à l 'apparence inoffensive. Contrairement à la plupart des tentatives de phishing, ce message ne contient pas de lien vers une page Web, ce qui éveille moins la suspicion des destinataires. Il contient un questionnaire en pièce jointe au format HTML, qui s 'avère être le formulaire de phishing.

Bien que l 'e-mail soit rédigé dans un anglais médiocre (avec plusieurs fautes d 'orthographe et des phrases ambig?es) susceptible d 'éveiller les soupçons des destinataires quant à l 'origine de ce message, la pièce jointe au format HTML est assez convaincante et extrêmement bien protégée contre l 'analyse du code source. Une fois ouverte, la page HTML semble normale, et les champs du formulaire sont prêts à recueillir des données sensibles :

Les premières questions sont habituelles et n 'apportent rien à l 'attaquant ; elles sont simplement destinées à doter le formulaire d 'une plus grande crédibilité. La deuxième partie du questionnaire est assez intéressante car elle vise à obtenir les données personnelles des utilisateurs telles que leurs coordonnées (nom et adresse complètes). Enfin, la dernière partie demande le numéro de carte bancaire, son code de sécurité et sa date d 'expiration, des informations qui, associées à l 'adresse de la victime, permettent de faire des achats en ligne en utilisant son compte bancaire.
Si la victime connaît le langage HTML et souhaite voir de ses propres yeux ce qui se passe lorsqu 'elle appuie sur le bouton ” Envoyer “, elle obtient le résultat crypté suivant :

Toute la page HTML a été encodée avec la fonction escape de JavaScript afin de cacher aux utilisateurs lambda le mécanisme interne du formulaire. La plupart des navigateurs modernes fonctionnant avec Java (à moins qu 'ils n 'aient explicitement limité l 'utilisation de JavaScript), la page sera décodée et restituée en temps réel si la victime l 'ouvre à l 'intérieur de son navigateur. Le code HTML révèle ensuite que le contenu du formulaire est en fait transmis à une page PHP hébergée sur un serveur appartenant à China Beijing Chinanet Shanghai Province Network.

à la différence des formulaires de phishing hébergés à distance (qui peuvent être supprimés par les fournisseurs de services dès que ces derniers ont identifié leur nature malveillante), les formulaires transmis sous la forme d 'une pièce jointe sont plus difficiles à bloquer car les utilisateurs y ont toujours accès.

Afin de profiter d 'Internet en toute sécurité et de protéger l 'intégrité de votre compte bancaire, n 'ouvrez jamais de pièces jointes provenant d 'inconnus, notamment lorsqu 'elles sont envoyées au nom d 'une institution bancaire. La plupart des banques contactent leurs clients par téléphone et, si nécessaire, leur proposent un rendez-vous dans l 'agence la plus proche.