Pourquoi est-il déconseillé de mettre des liens en toutes lettres (www.votresite.com) lorsque l’on active le tracking ?


Quel est le problème ?

Vous avez mis un lien en toutes lettres ("http://www.oxemis.com") dans votre message et l'analyse antispam vous signale un problème de phishing potentiel qui risque d'impacter la délivrabilité de vos messages.

 

Qu'est-ce que le phishing ?

Depuis quelques années déjà, des petits "malins" envoient des e-mails en se faisant passer pour des banques ou autre. Pour cela ils utilisent le fait que l'on peut, grâce au HTML, afficher l'adresse d'un site sur un lien et faire que l'on aille sur un autre lorsque l'on clique dessus.

Un exemple concret : le lien ci-dessous affiche "www.oxemis.com" mais il pointe en fait sur "www.google.fr" (survolez-le ou cliquez-dessus pour vérifier - le lien s'ouvrira dans une autre page) : 

http://www.oxemis.com

Aussi, il est facile pour un pirate d'exploiter cette fonctionnalité. Dans le mail qu'ils envoient, ils mettent un lien sous cette forme : www.votrebanque.com qui en fait pointe vers un faux site... Celui-ci est la copie conforme du site d'origine, aussi, si vous ne prêtez pas attention à l'adresse affichée dans le navigateur, vous risquez de vous identifier avec vos codes. Codes qui seront immédiatement récupérés et exploités par le pirate ayant mis en place ce site.

 

Quel est le rapport avec le tracking des liens ?

Les systèmes de tracking (tous) utilisent également ce principe pour enregistrer les clics dans vos messages.
Lorsque vous appliquez le tracking, vos URL (l'adresse sur laquelle pointe le lien) sont modifiées comme ceci :

http//www.votredomaine.com devienthttp://serveurdetracking.com/click.php?desinataire=id&url=http://www.votredomaine.com

(nous avons volontairement simplifié l'adresse de destination)

 

Cela ne modifie en rien le texte affiché ou l'apparence de votre message, nous modifions uniquement l'adresse qui se trouve derrière le lien. Nous pouvons ainsi enregistrer le fait que le destinataire identifié par "id" a cliqué sur votre lien. Une fois le clic enregistré, le destinataire arrive bien à l'adresse de votre site. Cette opération est complétement transparente pour la personne (cela se passe en quelques millisecondes) mais, pour les antispams, vous essayez de faire croire que le serveur de tracking est "votredomaine.com"

Certains systèmes détectent alors qu'il y a un risque de phishing.

 

Comment corriger le problème ?

Deux solutions sont possibles. La première est de ne jamais mettre un lien en toutes lettres avec l'adresse de votre site quand vous appliquez le tracking.

Par exemple, remplacez : www.monsite.com (ou http://www.monsite.com) par : "Visitez le site Monsite" qui pointe vers "http://www.monsite.com".

Pour faire cela dans OxiMailing c'est simple: au niveau de l'éditeur, saisissez le texte "Visitez monsite.com" (par exemple) puis sélectionnez-le. Faites ensuite un clic droit puis "Ajouter un lien...". Dans la fenêtre qui s'affiche, saisissez l'adresse internet du site dans la zone "URL" (http://www.monsite.com dans l'exemple).

 

Deuxième solution : vous pouvez utiliser la technique de "personnalisation des liens de tracking" pour éviter ce problème. Pour plus d'information : Qu'est-ce que la personnalisation du tracking sur votre domaine ?

 

Nuage de tags: phishing, SPECIF_PHISHING, tracking

Chuck Norris has counted to infinity. Twice.