Ca vous dirait d'aller faire un tour sur Google, ou bien chez Microsoft ?

C'est quasiment ce que m'a proposé un e-mail ce matin. Sauf qu'au lieu d'aller faire d'innocentes recherches sur Google, il me proposait de changer mon mot de passe chez USBank, et qu'au lieu de me renvoyer vers mon site, il me renvoyait vers un site hébergé en Chine (http://202.96.108.138/www/verify.html) qui me volerait (mais ça, ce n'était pas précisé) mes mot de passe, numéro de compte, de carte bancaire, de sécurité sociale... Heureusement, je n'ai pas de compte chez eux :)

Bref. Comment cela est-il possible ? Il suffit de regarder le lien du mail (même Outlook le montre) :

<a href="http://www.usbank.com%01@202.96.108.138/www/verify.html" onMouseMove="window.status='http://www.usbank.com/internetBanking/RequestRouter?requestCmdId=DisplayLoginPage';return true;" onMouseout="window.status=''">http://www.usbank.com/internetBanking/RequestRouter?requestCmdId=DisplayLoginPage</a>

Il y a plusieurs parties dans ce lien. La première, le href, présente un cas typique d'URL Spoofing. Je m'explique. Si vous utilisez Internet Explorer, et que vous cliquez sur ce lien, dans la barre d'adresse, vous ne verrez que http://www.usbank.com. Mais pourtant, vous serez sur le site 202.96.108.138/www/verify.html. Comment cela se fait ? Internet Explorer va visiter la partie de droite, mais affiche celle de gauche (coupure au %01@) !

Ensuite, les JavaScripts (onMouseMove et onMouseOut) servent à vous faire croire que l'adresse n'est pas fausse, puisqu'elle s'affiche dans la barre du bas ! L'adresse est exactement celle de la page de login de USBank, que vous pouvez visiter à l'adresse https://www4.usbank.com/internetBanking/RequestRouter?requestCmdId=DisplayLoginPage. Vous remarquerez au passage que le site d'USBank vous en demande beaucoup moins, et en plus que son identité est authentifiée par Verisign (https).

Enfin, le texte du lien (entre les <a></a>) affiche l'adresse de la vraie page (et non celle du serveur chinois... ce qui est logique).