Attaques de relecture DKIM : dĂ©tournement dâe-mails Apple et PayPal via factures lĂ©gitimes
Selon le blog de Kaseya, sur la base de dĂ©tections dâINKY, des campagnes exploitent des « DKIM replay attacks » en abusant de workflows lĂ©gitimes (Apple, PayPal, DocuSign, HelloSign) pour diffuser des arnaques via des eâmails authentifiĂ©s. Les champs contrĂŽlĂ©s par lâutilisateur (nom du vendeur, notes) servent Ă insĂ©rer des consignes frauduleuses et un numĂ©ro de tĂ©lĂ©phone, puis les messages signĂ©s sont rejouĂ©s vers des cibles. âą MĂ©canique de lâattaque âïž: un eâmail lĂ©gitime signĂ© DKIM est capturĂ© puis rejouĂ© Ă dâautres destinataires sans modification des enâtĂȘtes/body signĂ©s, ce qui maintient dkim=pass et donc dmarc=pass (si alignement). DKIM garantit lâintĂ©gritĂ© du contenu, pas lâidentitĂ© du routeur/dĂ©livreur. MĂȘme si SPF Ă©choue au transfert, un DKIM alignĂ© suffit Ă faire passer DMARC. ...