Du phishing à grande échelle sur eBay

Le phishing s’attaque à toutes les marques, toutes les enseignes, sans limitations. Ce n’est pas la première fois qu’eBay ou son service de paiement Paypal sont victimes de ce fléau. Mais cette fois, la technique et la confusion poussée à l’extrême pousse les spécialistes à sonner l’alarme une fois de plus.

Il est en effet effrayant de constater que l’URL utilisée pour cette technique de phishing est une adresse parfaitement légale et reconnue. À ceci près que si l’utilisateur y entre ses identifiants, il ignore que ceux-ci ne seront pas envoyés à eBay, mais à un pirate. Cette faille est pourtant connue depuis deux ans, mais n’a jamais été corrigée par le géant de la vente aux enchères, et la voilà aujourd’hui exploitée...

Nos confrères de Zataz ont publié une démonstration de la manière avec laquelle la faille peut-être exploitée, au moyen d’un simple mail. Le pirate diffuse un mail aux couleurs d’eBay annonçant une quelconque offre ou autre, l’essentiel étant d’éveiller la curiosité du lecteur. Le destinataire va donc découvrir le message et se voit proposer de rejoindre le site d’eBay via l’adresse http://cgi1.ebay.com/. Et c’est là que même pour un internaute expérimenté et au courant du phishing, la technique est sans faille, puisque même un examen de l’adresse donnée et du code de la page vers laquelle elle redirige ne révélera rien de l’usurpation d’identité en cours, mis à part une adresse appartenant bien à eBay. Le lien suivant vous montre le résultat sous forme d’une image, afin de vous faire une idée.

Il n’est jamais de trop de rappeller que la meilleure protection contre le phishing est encore de ne jamais cliquer n’importe où mais de préférer autant que possible taper l’adresse du site désiré.