Excellent article sur le fonctionnement de la vérification de d'authenticité des emails pour lutter contre le phishing.
Concrètement cela se base sur des enregistrement DNS pour un domaine. (e.g. gmail.com)
Il y a 3 mécanismes:
- Sender Policy Framework (SPF): adresses IP autorisées à envoyer des emails pour le domaine
- DomainKeys Identifier Mail (DKIM): clé publique et une signature cryptographique est ajoutée aux emails
- Domain-based Message Authentication Reporting and Conformance (DMARC): instructions pour traiter les emails non conforme
Le spellcheck avancé de Chrome envoi les mots de passes lorsqu'on les rentre dans des formulaires.
Retour d'expérience de Cloudflare qui a été ciblé par un fishing très sophistiqué.
La page de fishing demandait également les codes TOTP reçu par SMS et les transmettaient en temps réel à l'attaquant pour lui permettre de se loguer.
L'attaque n'a pas fonctionné car les employés de Cloudflare ont une clé d'authentification Yubikey physique.
C'est aussi ce qu'utilise Google pour ses employés, ils n'ont plus de fishing réussi depuis.
J'en ait personnellement une pour accéder à mes comptes Kraken.