Passer au contenu principal

Personnaliser vos pièges de phishing

Cet article vous aidera à comprendre le fonctionnement de notre éditeur html pour la mise en place de pièges spécifiques.

Écrit par Sam de Kamaé

Règles générales

Chez Kamaé, chaque piège de phishing est personnalisable. Mais attention : certaines règles sont indispensables pour garantir le bon déroulement de l’attaque.

Ce guide vous explique comment modifier le contenu HTML de l’email et de la landing page, tout en respectant les contraintes techniques essentielles.

Structure HTML requise

Le contenu HTML de l’email et de la landing page doit respecter la structure complète d’un document HTML :

<!DOCTYPE html>
<html>
 <head>
 [...]
 </head>
 <body>
 [...]
 </body>
</html>

Hyperliens

  • Tous les liens doivent inclure l’attribut target="_blank" :

<a href="[...]" target="_blank">[...]</a>

  • Pour les liens sans redirection, supprimez href="" et ajoutez style="cursor: pointer" :

<a style="cursor: pointer">[...]</a>

Ajouter une image (logo, bannière…)

Vous pouvez intégrer une image, comme le logo de l'entité usurpée, aussi bien dans l'email que dans la landing page. L'image s'insère grâce à la balise HTML <img> en renseignant son adresse dans l'attribut src :

<img src="https://votre-domaine.com/chemin/vers/logo.png" alt="Logo" width="150">

IMPORTANT : Kamaé n'héberge pas vos images. Vous devez héberger votre image vous-même et renseigner dans l'attribut src une URL publique, accessible sans authentification. Une image hébergée localement (ex. C:\images\logo.png) ou sur un espace privé ne s'affichera pas.

Bonnes pratiques :

  • Utilisez une URL en https pour éviter les avertissements de sécurité dans les clients de messagerie.

  • Privilégiez un hébergement stable et pérenne : si l'image est supprimée ou déplacée, elle n'apparaîtra plus dans le piège.

  • Renseignez l'attribut alt : il s'affiche si l'image ne peut pas être chargée et renforce le réalisme du message.

  • Définissez une largeur (width) ou une hauteur (height) pour contrôler l'affichage :

<img src="https://votre-domaine.com/logo.png" alt="Logo de l'entreprise" width="150" height="50">

Remarque : certains clients de messagerie bloquent par défaut le chargement des images distantes. Le destinataire peut avoir à autoriser leur affichage.

Modifier le contenu HTML de l’email

Ajouter un lien vers la landing page

L'email de phishing doit contenir au moins un hyperlien vers la landing page.
Insérez la variable {{.URL}} dans l’attribut href de tous les liens :

<a href={{.URL}} target="_blank">[...]</a>

IMPORTANT : cette variable est essentielle pour rediriger vers la landing page et donc pour le bon déroulé de l'attaque.

Ajouter un tracker

L'email de phishing doit également contenir un tracker pour collecter les données sur l'ouverture de l'email.

Celui-ci est un pixel blanc représenté par la variable {{.Tracker}} à inclure à la toute fin du body du document HTML, comme ci-dessous :

[...]
 <p>{{.Tracker}}</p>
</body>

IMPORTANT : sans ce tracker, les données d’ouverture ne seront pas collectées.

Modifier le contenu HTML de la landing page

Scripts JavaScript

Par mesure de sécurité, aucun script JavaScript ne peut être exécuté dans les aperçus ou les landing pages.

Formulaire

L'objectif d'une attaque par phishing est de collecter des données : c'est le rôle de la landing page.

La landing page doit contenir un formulaire indiqué par les balises <form> et présentant les attributs method="post", target="_parent" et action={{.URL}}.
Il doit également être validé par un <button> de type="submit" :

<form method="post" target="_parent" action={{.URL}}>
 [...]
 <button type="submit">[...]</button>
</form>

IMPORTANT : ces attributs sont obligatoires pour le bon fonctionnement du formulaire.

Champs du formulaire

Adresse email

Pour récupérer l'adresse mail de la cible, un <input> du formulaire doit détenir les propriétés id="email_id", type="email" et name="email" :

<form method="post" target="_parent" action={{.URL}}>
 <input id="email_id" type="email" name="email" autocomplete="username">
 [...]
 <button type="submit">[...]</button>
</form>

IMPORTANT : sans ces attributs, l’adresse email ne sera pas récupérée.

Mot de passe

Ce champ ne doit pas inclure d’attribut name :

<form method="post" target="_parent" action={{.URL}}>
 [...]
 <input id="password" type="password" autocomplete="current-password">
 <button type="submit">[...]</button>
</form>

Remarque : les mots de passe ne sont jamais transmis aux serveurs de Kamaé.

Exemple complet

<form method="post" target="_parent" action={{.URL}}>
 <input id="email_id" type="email" name="email" autocomplete="username">
 <input id="password" type="password" autocomplete="current-password">
 <button type="submit">Se connecter</button>
</form>

Ajouter des variables personnalisées

Ces variables peuvent être utilisées dans l’objet du mail, le contenu HTML de l’email ou celui de la landing page.

Variable

Description

{{.FirstName}}

Prénom de la cible

{{.LastName}}

Nom de la cible

{{.Email}}

Adresse email de la cible

Exemple d’utilisation

<p>Bonjour {{.FirstName}} {{.LastName}}, vous avez reçu un nouveau message sur {{.Email}}.</p>

Résultat affiché :
Bonjour Camille Dupont, vous avez reçu un nouveau message sur [email protected].

Variables obligatoires

Variable

Usage

{{.URL}}

Redirection vers la landing page

{{.Tracker}}

Pixel de suivi d’ouverture du mail

En résumé

✔ Respectez la structure HTML complète
✔ Intégrez {{.URL}} dans les liens
✔ Ajoutez {{.Tracker}} à la fin du <body>
✔ Renseignez correctement le formulaire
✔ Ne renseignez pas name pour le champ mot de passe
✔ Personnalisez avec les variables disponibles

Avez-vous trouvé la réponse à votre question ?