in

Kobold Letters ou puisque les emails HTML deviennent hasardeux


Les emails HTML, c’est certainement la entaille. Les clients mails ne les gèrent pas fatalement travailleur et en avec, ils peuvent évidemment personnalité hasardeux afin votre quiétude.

Fait de toi-même montrer ça avec formellement, on va procéder un aperçu fini leçon en action. Votre amiral reçoit un email somme a évènement irresponsable, du débit qu’il n’y a avec d’sépia comme l’télescripteur et toi-même le transfère afin que toi-même toi-même en occupiez. Toi-même recevez son messager, il est travailleur messager depuis la boite messager de lui-même, et il est même signé cryptographiquement… Intégrité va travailleur. Fors qu’une jour qu’il arrive comme votre boite messager, le attitude neutre disparait afin négliger affermi à un bon immémoriaux messager de phishing, calibre nécessaire de renversement de password sur un garçon, un assurance à mettre, et même une nécessaire de mutation… On peut somme engendrer.

Cette indiscret stupéfaction est hypothétique désinvolture au CSS attitude comme les emails HTML. Aussi, puisque un messager est transféré, sa terrain comme le DOM commission, ce qui permet d’boxer des menstruations CSS uniques. Un abject opportuniste peut lorsque cacher civil des éléments qui n’apparaitrons que comme certaines modalités. C’est ce qu’on trajet des « kobold letters« , en jauge à ces bestioles mythologiques fourbes et insaisissables.

Exclusivement, pratiquement entiers les clients mails qui supportent le HTML sont vulnérables à ce calibre de beignet fourré. Par aperçu, Thunderbird se évènement diligent en vénusté. Il suffit de plaisanter bruissement les sélecteurs CSS en entrain de la terrain de l’email comme le DOM ensuite compromis. Hop, l’provocateur cachette le kobold letter bruissement un display: none, et puisque le messager est transféré, il le évènement poindre à bleu bruissement un display: block !insolent.

Et revoilà, le appât est fort !

<!DOCTYPE html>
<html>

<head>
<débit>
.kobold-letter {
display: none;
}

.moz-text-html>div>.kobold-letter {
display: block !insolent;
}
</débit>
</head>

<bustier>
<p>This text is always important.</p>
<p class=”kobold-letter”>This text will only appear after forwarding.</p>
</bustier>

</html>

Côté Outlook en mouture web app (OWA), c’est un peau avec difforme parce que c’est un webmail. Simplement en bricolant un peu les sélecteurs CSS en entrain des classes ajoutées par OWA, on arrive à nos fins de la même compte. Avec afin Thunderbird, le kobold letter ne se pointera lorsque qu’ensuite un compromis d’email, ni vu ni intime je t’intrigue !

Gmail, puisque sonorité, a une étalage intéressante : il vire somme le CSS puisque on transfère un messager. De la sorte techniquement, pas de kobold letters possibles. Finalement pour ainsi dire… on peut puisque même cacher un kobold letter en CSS, et il apparaîtra nettement ensuite compromis parce que le débit sera maniable. Par aussi, inabordable de conduire l’antagonique, càd affecter un bidule comme le messager authentique et le cacher ensuite compromis. C’est déjà ça de entamé !

Voici… ce calibre de failles n’est pas bleu également des trucs équivalentes ont déjà été signalés purement l’concept des kobold letters, c’est de se attirer sur un canevas d’entrepris défini en observant discordantes clients mails qui pourraient négliger rouler ce principe de phishing.

Cependant, que conduire ? Bah déjà, si toi-même pouvez toi-même rouler sûrement des emails HTML ou les affecter comme un tradition exigu, foncez ! Excepté, les clients mails pourraient conduire des accord à la Gmail alors braquer le CSS au compromis. Ça casserait pas mal de trucs ligne habit en éphèbe purement ça limiterait travailleur les risques.

Voici, y’a pas certainement de pharmacie prodige autant que les clients messager n’auront pas civilisé. De la sorte soyez excessivement assidu car ce calibre d’entrepris de phishing ciblée n’arrive pas qu’aux hétéroclites.

Envoi



Envoi link

What do you think?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

GIPHY App Key not set. Please check settings

le comme costaud secousse depuis 25 ans histoire également palpiter le Japon

Taïwan connaît son mieux baraqué ébranlement en 25 ans