Actualités

Mail : quand la norme RFC791 est détournée pour faire sauter les filtres anti-spams ! (hexa-Boom…)

Il fallait y penser… la norme RFC791, qui définit (entre-autres) le protocole sur l’Internet des adresses IPs a une occurrence insécuritaire et non des moindres : selon les investigations de Trustwave publiées au 17 Septembre dernier, de fin observateurs ont étudiés attentivement la norme pour en saisir une logique simple. En effet, si l’adresse décimale d’une IP est la forme la plus courante, d’autres co-existent et peuvent tout à fait être gérées par le navigateur Web qui redirigera en conséquence, suivant la teneur vers lesquelles pointes lesdits adresses IPs. Dans le cas d’une campagne de spam, il faut outre-passer les nombreux filtres de protection et comme ceux-ci sont basés sur l’appel-IP le plus courant, aucun mécanisme réel de blocage n’est apposé sur les autres normes. Une manne pour les cyber-attaquants qui ont pu profiter de ce gouffre venteux…

 

 

Cliquer sur l’un de ces liens ouvre le navigateur de la victime. Le navigateur convertit l’adresse IP hexadécimale en IP décimale et emmène la victime sur la page Web hébergeant le faux site pharmaceutique. Ce site est équipé d’une passerelle e-commerce pour vendre ces fausses pilules. Nous n’avons procédé à aucun achat au moment de la rédaction de ce blog. Vous pouvez effectuer vous-même la conversion IP hexadécimale à décimale en utilisant n’importe quel outil de votre choix“, est-il détaillé.

 

Un ping-pong s’opère entre les redirections HTTP 301 et 302 puis la victime atterri sur un site (légitime) en ligne bancaire intégrant, en réalité des liens d’affiliation au clic ainsi détourné ; la finalité résidant dans l’affichage de multiples sites Web proposant divers produits à la victime via des achats en ligne. Bien évidemment, il est rappelé que ces produits sont très probablement de faux produits : par exemple, des pilules ou une pommade qui, en plus d’être dangereux pour la santé (provenance ?) n’émane d’aucun laboratoire ou groupe pharmaceutique officiel.

 

Il est recommandé aux internautes de redoubler de vigilance, encore une fois, en regardant, AVANT de cliquer sur le lien, la teneur de ce dernier… A veiller !

 

 

Source : Trustwave – 17 Septembre 2020 – RC791 : vulnérabilité dans la norme permettant d’exploiter l’adresse hexadécimale pour des campagnes de spams.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020