Nouvelle tactique de phishing utilisant les formulaires web sur les sites d’entreprise

hameçonnage

Les cybercriminels exploitent de plus en plus les formulaires de contact sur les sites web pour envoyer des e-mails de phishing semblant provenir d’organisations fiables.

Les chercheurs du KnowBe4 Threat Lab signalent une nouvelle tactique de phishing où les cybercriminels utilisent les formulaires de contact ou de rendez-vous sur les sites web. Au lieu de pirater des comptes e-mail, les attaquants remplissent simplement les formulaires existants avec de fausses informations. Les e-mails de confirmation automatiquement envoyés par les organisations sont ensuite utilisés comme moyen de tromper les victimes.

Tromperie via les formulaires de contact

La méthode a été identifiée pour la première fois en septembre 2025. Les attaquants n’ont pas besoin de compromettre des systèmes pour lancer leurs campagnes de phishing. Comme les e-mails proviennent de domaines de confiance, ils parviennent souvent à contourner les contrôles de sécurité. Les destinataires font plus facilement confiance à ces messages, ce qui augmente les chances de succès des attaquants.

lire aussi

Des failles dans Microsoft Teams ont permis aux pirates de se faire passer pour des collègues

KnowBe4 décrit trois étapes fixes dans cette approche : les attaquants créent un compte e-mail gratuit, par exemple via Microsoft, le configurent pour qu’il ressemble à une organisation existante, puis remplissent des formulaires de contact avec cette adresse et leurs propres numéros de téléphone ou e-mails. Lorsque l’organisation envoie un e-mail de confirmation, celui-ci est automatiquement transféré à une liste de victimes potentielles.

Méthode simple

Cette approche nécessite moins d’effort technique que le phishing traditionnel. Les criminels n’ont plus besoin de compromettre des comptes ou de manipuler des serveurs de messagerie. Cela rend les attaques plus largement applicables et plus difficiles à détecter. Selon les données de KnowBe4, en 2025, 59 % de toutes les attaques de phishing provenaient déjà de comptes compromis. L’émergence de cette nouvelle technique pourrait faire évoluer ce chiffre.