Piratage possible suite à un email ? - Sécurité - Réseaux grand public / SoHo
Marsh Posté le 26-03-2009 à 08:39:32
Je ne connais pas la réponse, mais en tout cas, on ne te détaillera pas ici une méthode de hack.
Marsh Posté le 26-03-2009 à 09:41:10
Faudrait expliquer à ton client ce qu'est réellement le phishing...
Marsh Posté le 26-03-2009 à 22:14:46
ce n'est evidement pas la méthode que je cherche, mais juste à savoir si elle existe.
Marsh Posté le 25-03-2009 à 16:22:00
Bonjour à tous,
Dans le cadre de mon activité professionnelle, je suis amené à envoyer des emails en masse (type newsletter) à mes clients demandeurs, par le biais d'un prestataire qui envoie les mail pour moi, et en assure le suivi statistique.
Un de ces suivis consiste notamment à compter les clics sur les liens contenus dans les mails. Pour se faire, mon prestataire procède à une simple redirection par ses serveurs avant d'arriver sur l'URL que j'ai choisie.
Jusque là, rien que du banal.
Aujourd'hui un client m'oppose une réclamation au motif que mon email, du fait de la redirection, pourrait être assimilé à du phishing, car mes liens ne pointent pas directement vers mon domaine.
Bien évidement, mes mails sont clean, et ne vantent que les mérites de services banals, sans jamais demander d'informations sensibles à mes clients.
Mais en creusant, et afin d'ôter tout doute à mon client, j'aimerais savoir si le scénario suivant est plausible :
- un pirate crée un vrai-faux mail, identique à ceux que j'envoie d'habitude, vantant choux et carottes, mais rien de sensible.
- ce mail contient un lien apparemment anodin vers un produit anodin, mais en fait transite par un méchant site pirate.
- le client clique sur le lien, est redirigé dans un premier temps vers le site pirate.
- là il se passe un "truc", un exploit, un hack, un verolage de sa machine (en un pouilleme de seconde !)
- puis finalement, il y a une 2e redirection vers mon site commercial anodin
Bilan, un vrai-faux mail, un clic, 2 redirections, et entre les 2 un piratage en bonne et due forme au nez et à la barbe du client qui n'a rien vu venir.
J'aimerais savoir si selon vous, il existe une telle technique. Si oui, laquelle ? J'ai regardé côté XSS, mais ça ne colle pas avec le scénario (ou alors j'ai pas bien compris)
d'avance pour votre aide
Message édité par bentotoro le 25-03-2009 à 16:23:59