Règles générales
Chez Kamaé, chaque piège de phishing est personnalisable. Mais attention : certaines règles sont indispensables pour garantir le bon déroulement de l’attaque.
Ce guide vous explique comment modifier le contenu HTML de l’email et de la landing page, tout en respectant les contraintes techniques essentielles.
Structure HTML requise
Le contenu HTML de l’email et de la landing page doit respecter la structure complète d’un document HTML :
<!DOCTYPE html>
<html>
<head>
[...]
</head>
<body>
[...]
</body>
</html>
Hyperliens
Tous les liens doivent inclure l’attribut
target="_blank":
<a href="[...]" target="_blank">[...]</a>
Pour les liens sans redirection, supprimez
href=""et ajoutezstyle="cursor: pointer":
<a style="cursor: pointer">[...]</a>
Modifier le contenu HTML de l’email
Ajouter un lien vers la landing page
L'email de phishing doit contenir au moins un hyperlien vers la landing page.
Insérez la variable {{.URL}} dans l’attribut href de tous les liens :
<a href={{.URL}} target="_blank">[...]</a>IMPORTANT : cette variable est essentielle pour rediriger vers la landing page et donc pour le bon déroulé de l'attaque.
Ajouter un tracker
L'email de phishing doit également contenir un tracker pour collecter les données sur l'ouverture de l'email.
Celui-ci est un pixel blanc représenté par la variable {{.Tracker}} à inclure à la toute fin du body du document HTML, comme ci-dessous :
[...]
<p>{{.Tracker}}</p>
</body>
IMPORTANT : sans ce tracker, les données d’ouverture ne seront pas collectées.
Modifier le contenu HTML de la landing page
Scripts JavaScript
Par mesure de sécurité, aucun script JavaScript ne peut être exécuté dans les aperçus ou les landing pages.
Formulaire
L'objectif d'une attaque par phishing est de collecter des données : c'est le rôle de la landing page.
La landing page doit contenir un formulaire indiqué par les balises <form> et présentant les attributs method="post", target="_parent" et action={{.URL}}.
Il doit également être validé par un <button> de type="submit" :
<form method="post" target="_parent" action={{.URL}}>
[...]
<button type="submit">[...]</button>
</form>IMPORTANT : ces attributs sont obligatoires pour le bon fonctionnement du formulaire.
Champs du formulaire
Adresse email
Pour récupérer l'adresse mail de la cible, un <input> du formulaire doit détenir les propriétés id="email_id", type="email" et name="email" :
<form method="post" target="_parent" action={{.URL}}>
<input id="email_id" type="email" name="email" autocomplete="username">
[...]
<button type="submit">[...]</button>
</form>IMPORTANT : sans ces attributs, l’adresse email ne sera pas récupérée.
Mot de passe
Ce champ ne doit pas inclure d’attribut name :
<form method="post" target="_parent" action={{.URL}}>
[...]
<input id="password" type="password" autocomplete="current-password">
<button type="submit">[...]</button>
</form>Remarque : les mots de passe ne sont jamais transmis aux serveurs de Kamaé.
Exemple complet
<form method="post" target="_parent" action={{.URL}}>
<input id="email_id" type="email" name="email" autocomplete="username">
<input id="password" type="password" autocomplete="current-password">
<button type="submit">Se connecter</button>
</form>
Ajouter des variables personnalisées
Ces variables peuvent être utilisées dans l’objet du mail, le contenu HTML de l’email ou celui de la landing page.
Variable | Description |
| Prénom de la cible |
| Nom de la cible |
| Adresse email de la cible |
Exemple d’utilisation
<p>Bonjour {{.FirstName}} {{.LastName}}, vous avez reçu un nouveau message sur {{.Email}}.</p>Résultat affiché :
Bonjour Camille Dupont, vous avez reçu un nouveau message sur [email protected].
Variables obligatoires
Variable | Usage |
| Redirection vers la landing page |
| Pixel de suivi d’ouverture du mail |
En résumé
✔ Respectez la structure HTML complète
✔ Intégrez {{.URL}} dans les liens
✔ Ajoutez {{.Tracker}} à la fin du <body>
✔ Renseignez correctement le formulaire
✔ Ne renseignez pas name pour le champ mot de passe
✔ Personnalisez avec les variables disponibles