Phishing via les URI data:

Via Slashdot et TheRegister :

Un étudiant de l’Université d’Oslo a revu un vecteur d’attaque basé sur l’encodage de documents web via le schéma d’URI data: utilisé notamment pour les images inline.

L’utilisation de ce schéma pour le phishing est la suivante (PDF) : l’attaquant envoi un mail à sa victime l’incitant à cliquer sur un lien.
Ce lien n’est pas un lien traditionnel mais un schéma data qui contient une page web entière (inline) qui s’affiche dans le navigateur de la victime quand celle-ci clique dessus.

Avantage pour l’attaquant ? Il n’a plus à héberger la page de phishing puisqu’elle est intégrée dans le corps du mail.

Inconvénients ? Et bien d’abord l’URL est pour le moins suspecte (quoique pour Mme Michu ça va passer) mais surtout l’attaquant devra tout de même disposer d’un site web quelque part pour récupérer les données saisies par la victime dans la page inline…