Kits de redirection SEO : le piège qui vole vos identifiants et vos OTP

Vous cherchez une information banale via Google, vous tombez sur un article “normal”, puis une fenêtre apparaît : “Continue reading”. Un clic, et vous voilà propulsé vers une autre page… qui peut être un formulaire de connexion frauduleux, un faux téléchargement, un “diagnostic” de navigateur, ou une étape de “vérification” via QR code. Ce scénario, qui ressemble à un détail d’ergonomie, est devenu un vrai mécanisme de redirection à grande échelle. Dans cet article, on décortique le fonctionnement de ces kits de redirection click‑gated observés récemment (hébergés sur des sous‑domaines *.pages.dev), puis on transforme l’analyse en mesures concrètes : compartimenter votre adresse email, réduire l’exposition de vos OTP, et utiliser des emails temporaires/alias pour casser la chaîne d’attaque.

Ce que montre l’enquête : des “pré‑landers” SEO sur une plateforme légitime

Le schéma décrit par des chercheurs est simple mais efficace : des pages hébergées sur une plateforme reconnue (ici, Cloudflare Pages via pages.dev) publient des articles “SEO” anodins (par exemple des contenus people ou gaming). Quelques secondes après le chargement, un modal force l’utilisateur à cliquer sur un bouton du type “Continue reading / Continue Read”. Ce clic déclenche ensuite une redirection JavaScript vers une infrastructure commune, qui décide de la suite : phishing, adware/PUP, “fausse mise à jour”, ou autres parcours.

Deux détails rendent cette approche particulièrement performante : (1) le hosting “de confiance” augmente la probabilité d’indexation et réduit la suspicion, et (2) le clic requis permet d’échapper à des contrôles automatisés qui n’exécutent pas tout le flux interactif. Des centaines d’URLs peuvent partager le même modèle visuel et la même logique, ce qui suggère un kit réutilisable plutôt qu’un site isolé.

Le rôle du “Traffic Distribution System” (TDS)

Au cœur du dispositif, on observe souvent un point de redirection central (un domaine intermédiaire) qui agit comme un “noeud de décision”. Son job : filtrer le trafic (géolocalisation, user‑agent, heuristiques anti‑bot), identifier les visiteurs “intéressants” et envoyer chacun vers une branche différente. Ce modèle, inspiré du malvertising, est modulaire : aujourd’hui un faux téléchargement, demain une page de capture de mots de passe, après‑demain une arnaque à l’abonnement.

L’enquête mentionne aussi des comportements d’anti‑analyse : si un proxy ou VPN est détecté, le flux peut s’arrêter avec un message comme “Anonymous Proxy detected”. Ce n’est pas une preuve d’innocence ; au contraire, c’est souvent un signe que le système cherche à éviter les chercheurs et sandboxes.

Pourquoi l’email est la cible finale (même quand l’attaque commence sur le web)

Même quand le piège est une redirection web, l’objectif revient presque toujours à l’email : récupérer un identifiant, prendre le contrôle d’un compte, réinitialiser un mot de passe, ou intercepter un code de validation. Une fois qu’un attaquant met la main sur votre boîte mail (ou sur un cookie de session), il peut : déclencher des réinitialisations, aspirer vos factures et données personnelles, récupérer des liens magiques, et surtout accéder aux OTP envoyés par email.

Il faut donc traiter l’email comme un actif critique et non comme un simple canal. La défense anti‑phishing moderne n’est pas seulement “ne pas cliquer” : c’est aussi réduire ce qu’un clic peut coûter en compartimentant, en limitant les dommages, et en rendant vos comptes difficiles à détourner.

La checklist anti‑piège : quoi faire avant, pendant et après un “Continue reading” suspect

1) Avant : installer une “barrière” contre l’impulsion

La plupart de ces kits gagnent parce qu’ils exploitent votre réflexe : “je clique pour continuer”. Réduisez cette impulsion en adoptant une règle simple : si un site bloque la lecture avec un modal non lié au consentement (cookies) ou au paywall officiel, quittez la page. Les contenus légitimes n’ont généralement pas besoin d’un “Continue reading” agressif pour afficher un article gratuit.

Côté technique : gardez un bloqueur de contenu (uBlock Origin) et, si possible, un navigateur/profil dédié à la navigation “risquée” (recherches d’outils, cracks, streaming, etc.). Le but n’est pas d’être parano : c’est de séparer ce qui peut être piégé de ce qui donne accès à vos comptes.

2) Pendant : repérer les signaux faibles en quelques secondes

Quand le modal apparaît, observez : le domaine est‑il étrange ? Le contenu a‑t‑il l’air “générique” ? Le site utilise‑t‑il des sous‑domaines de type *.pages.dev ou des domaines récemment créés ? Le bouton provoque‑t‑il un nouvel onglet/pop‑up ? Un nouveau domaine s’ouvre‑t‑il instantanément ? Ces signaux ne prouvent pas à 100% la malveillance, mais ils justifient l’arrêt.

3) Après : si vous avez saisi un mot de passe, partez du principe qu’il est compromis

C’est la règle la plus rentable. Si vous avez entré un mot de passe sur une page douteuse (ou si vous n’êtes pas sûr), changez‑le immédiatement sur le site officiel (en tapant l’URL manuellement). Ensuite : déconnectez les sessions actives, vérifiez les appareils connectés, et activez/renforcez le second facteur.

Si votre second facteur est “OTP par email”, vous avez un problème de dépendance : le compte dépend de votre boîte mail, et votre boîte mail dépend peut‑être du même navigateur/piège. L’idéal est de migrer vers des méthodes résistantes au phishing (application d’authentification, clé FIDO2) et de réserver l’email aux notifications.

Le levier le plus sous‑estimé : compartimenter vos adresses email

Les attaquants adorent une chose : une adresse email unique pour tout. Car si votre adresse principale se retrouve dans une fuite (ou si vous la saisissez sur un site piégé), ils peuvent lancer des attaques de “credential stuffing”, tenter des réinitialisations, et vous cibler avec du spear‑phishing. La compartimentation casse ce modèle.

La règle des 4 boîtes (simple et très efficace)

Vous n’avez pas besoin de 20 adresses pour être mieux protégé. Une stratégie minimale, réaliste :

• Boîte A (ultra‑critique) : banque, impôts, Apple/Google, gestionnaire de mots de passe. Jamais utilisée pour des inscriptions “web”.
• Boîte B (personnelle) : échanges avec des humains, factures, services importants mais non vitaux.
• Boîte C (inscriptions & newsletters) : e‑commerce, forums, services que vous testez.
• Boîte D (jetable) : essais gratuits, téléchargements, “un compte pour voir”, sites dont vous n’êtes pas certain.

La boîte D doit être un email temporaire ou un alias facilement désactivable. C’est ici que TempForward devient une pièce de sécurité : vous obtenez une adresse utilisable immédiatement, sans exposer vos boîtes A/B. Et si la boîte D commence à recevoir du spam, vous l’abandonnez sans coût.

Alias : identifier les fuites et couper le flux

Un alias par service (ou par catégorie) apporte deux gains : attribution et contrôle. Attribution : vous voyez d’où vient le spam (“ah, c’est l’alias du site X”). Contrôle : vous coupez l’alias, sans changer votre email principal. C’est une défense anti‑spam, mais aussi une défense anti‑phishing, parce que les attaquants ont moins de “surface” stable à cibler.

OTP : réduire la dépendance à l’email et aux SMS

Beaucoup de services envoient encore des codes OTP par email. C’est pratique, mais cela revient à dire : “si quelqu’un contrôle votre email, il contrôle votre compte”. Dans un monde de kits de redirection et de phishing industrialisé, ce n’est pas une hypothèse théorique.

Trois recommandations pragmatiques :

1. Pour les comptes critiques : préférez une clé FIDO2/WebAuthn (phishing‑resistant) ou une application TOTP.
2. Évitez le SMS quand vous pouvez : l’attaque par “SIM swap” existe toujours, et les SMS sont interceptables.
3. Si un service n’offre que l’OTP par email : utilisez une adresse dédiée (Boîte C) et ne l’utilisez jamais pour naviguer/cliquer au hasard.

Si vous gérez un site : comment éviter que vos visiteurs se fassent piéger

Ce type de campagne vit aussi grâce au trafic organique et aux redirections. Si vous avez un site ou un blog, vous pouvez réduire la probabilité que vos lecteurs tombent sur des “pré‑landers” : publiez des liens vers des sources officielles, évitez de recommander des sites douteux, et signalez les comportements anormaux (modals forcés, redirections en chaîne). Côté sécurité, surveillez vos logs pour détecter des campagnes de spam SEO (backlinks artificiels, commentaires automatisés) qui peuvent pousser vos utilisateurs vers des résultats empoisonnés.

Conclusion : transformer une tendance technique en habitudes simples

Les kits de redirection “Continue reading” montrent une évolution classique : au lieu d’attaquer frontalement, on construit des pages “propres” et on cache la partie sale derrière un clic. Cette approche rend les victimes plus nombreuses, car elle ne ressemble pas à une attaque au premier regard.

La bonne nouvelle : vous n’avez pas besoin d’être expert pour réduire fortement le risque. Si vous appliquez (1) une règle de non‑interaction avec les modals agressifs, (2) une compartimentation simple de vos emails, et (3) un second facteur résistant au phishing pour vos comptes critiques, vous cassez l’essentiel de la chaîne. TempForward complète la stratégie en vous offrant une couche jetable/aliasable qui évite de “payer” chaque test de service avec votre identité numérique.

Sources (flux/feeds) : entrée r/netsec (RSS) et analyse technique publiée sur malwr-analysis.com décrivant une infrastructure de redirection hébergée sur pages.dev et ses branches (phishing/adware/malware/QR). Cet article synthétise les mécanismes et propose des contre‑mesures orientées email/OTP.