À moins que vous ne viviez dans une grotte, vous avez très probablement déjà dû passer un test CAPTCHA sur Internet. L’idée est simple, vérifier via un petit formulaire de question-réponse que vous êtes bien un humain et non une machine qui tente d’accéder à un compte. Le principe est donc un maillon important de la chaîne de cybersécurité et un moyen d’échapper à de nombreuses attaques automatisées.
Une stratégie redoutablement efficace
Le constat réalisé par les experts de la société Avanan est donc pour le moins paradoxal. Ces derniers ont en effet repéré que des pirates utilisent les formulaires CAPTCHA pour tromper les filtres anti-spam des services de messagerie électronique.
Dans le détail, cette forme d’attaque se déroule de la manière suivante. La personne ciblée reçoit un e-mail contenant un PDF. Ce document renvoi ensuite sur un site avec un formulaire CAPTCHA.
Le contenu du portail est donc inaccessible aux scanners du filtre anti-phishing. Le stratagème fonctionne d’autant mieux « que l’e-mail est envoyé depuis un domaine légitime, dans le cas d’espèce, un site universitaire compromis », précisent les chercheurs.
Quant à l’utilisateur victime du piratage, il ne se doute pas vraiment de ce qui se passe et il est d’ailleurs habitué à remplir des tests CAPTCHA. Il est enfin invité à fournir ses données de connexion et le piège se referme.
Et Avanan de conclure : « En fournissant aux utilisateurs finaux un contenu suffisamment innocent et aux scanners suffisamment d’éléments pour les tromper, cette attaque est efficace pour les pirates. »
Les experts adressent toutefois un précieux conseil aux internautes pour ne pas tomber dans le panneau. Ainsi, il convient de toujours vérifier les URL avant de remplir un formulaire. On peut généralement se rendre compte que l’adresse ne correspond pas à l’originale, même si la différence est parfois subtile.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
