Hameçonnage des comptes DHL : « DHL & MOTS DE PASSE »

Bonjour à tous ! Aujourd’hui, nous allons nous concentrer sur un exemple récent de phishing simple issu de la pratique actuelle comme toujours. Analysons la lettre suivante :

Comme nous le voyons sur la capture d’écran, il y a une pièce jointe – page htm et on propose de l’ouvrir à l’insu du « destinataire du colis ».

À l’intérieur de ce document, nous pouvons voir un code JS contenant une valeur de chaîne Unicode codée avec la fonction « escape ».

Fragment

Nous pouvons utiliser la ressource suivante pour décoder ce fragment:

Après décodage, nous voyons que le texte est encore codéen base64:

Décodons-le.

Pour nos besoins, nous pouvons utiliser par exemple, http://www.artlebedev.ru/tools/decoder/:

En conséquence, nous recevons le code de la page qui s’ouvre localement, et elle imite la page officielle de DHL. Donc, cette page est une source parfaite de collecte des emails et mots de passe des comptes DHL.

Parmi d’autres choses, il y a un lien vers une ressource dans le corps de cette page :

D’une certaine manière, il est considéré comme « clair » :

Lorsque vous essayez d’ouvrir cette page web, vous êtes redirigé vers le site de DHL. En conséquence, l’utilisateur ne soupçonne rien s’il vérifie le lien dans le navigateur et il est convaincu qu’il est sur la page de DHL :

Comme nous pouvons le voir dans le trafic, il y a un post avec la transmission d’un mot de passe et d’un email fournis sur la fausse page ; puis il y a une redirection vers le site de DHL comme prévu.

Il y a donc un phishing des comptes DHL.

Nous ne pouvons que bloquer ce lien sur le pare-feu et rappeler une fois de plus aux utilisateurs qu’ils doivent vérifier soigneusement le lien s’ils se voient demander des mots de passe.