Que fait ce script? Est-ce malveillant?

Question

donc je reçu un email aujourd'hui de phising évident avec ce js code en lui:

<script type="text/javascript" language="Javascript1.1"> 

<!-- Begin 

    var bCancel = false; 

    function validateRegistrationDetails(form) { 
     hmrc.portal.clearFieldValidationErrors(form); 
     if (bCancel) { 
      return true; 
     } else { 
     var registrationDetailsPageMessage = new String("<p>ERROR: This page contains one or more errors. See details below.</p>") 
      var formValidationResult; 
      formValidationResult = validateRequired(form) & validateMask(form) & validateIdenticalEmailAddresses(form); 
    if (!formValidationResult){ 
     var formName=form.name; 
     var ele=document.getElementById('pageError.registrationDetails'); 
     if(ele){ 
     ele.innerHTML = registrationDetailsPageMessage; 
     ele.style.display = '';  } 
    } 

      return (formValidationResult == 1); 
     } 
    } 

    function registrationDetails_required() { 
    this.a0 = new Array("selectedServices", "<p>ERROR: Please select at least one online service.</p>", new Function ("varName", " return this[varName];")); 
    } 

    function registrationDetails_mask() { 
    } 

    function registrationDetails_identicalEmailAddresses() { 
    } 


//End --> 
</script> 

est-il malveillant de toute façon, ce que fait exactement le faire avec les données de formulaire. Je ne suis pas très versé dans le javascript vanilla. Toute explication serait utile.

Merci

Answer 1

Donc, vous avez déjà établi qu'il s'agit d'un courriel d'hameçonnage. Habituellement, les courriels d'hameçonnage tentent de paraître légitimes en copiant de gros morceaux de code du site Web d'origine qu'ils tentent de prétendre être (c.-à-d. Le site de votre banque ou autre). Ils vont ensuite modifier ce code afin qu'il envoie les données pertinentes à l'hameçonneur plutôt qu'à la banque. Ils peuvent également ajouter des champs qui n'étaient pas dans l'original, comme demander votre code PIN, etc

Cependant, le point principal ici est que la majeure partie du code original est généralement conservé, afin de maintenir le look et se sentir du site original.

Par conséquent, les chances sont que le code que vous voyez a été copié par les phishers du site d'origine.

Il n'y a rien explicitement méchant dans ce code en lui-même - il a un lot de code mal écrit, mais il n'essaie pas de faire quelque chose de mal dans ce code.

Lorsque le problème réside pour les phishers, c'est que le code Javascript est bloqué par la plupart des clients de messagerie; c'est-à-dire indépendamment de son intention, les chances sont que ce code ne fonctionne pas réellement dans votre client de messagerie.

Mais je suppose que les hameçonneurs viennent de prendre la forme originale en gros du site Web et l'ont jetée dans un e-mail sans prendre la peine de supprimer tout javascript qui pourrait y avoir été incorporé. Donc, la réponse courte est: Ne vous inquiétez pas de ce code en particulier, mais s'il vous plaît supprimez l'e-mail.

Answer 2

Pour autant que je peux voir, il n'y a rien de malveillant, à moins un script a été inclus en dehors de ce script lui-même.

Answer 3

Selon toute probabilité, celui qui vous a envoyé ceci a simplement soulevé une section de HTML et JavaScript en ligne du site qu'ils essayaient de prétendre être. Quelques lignes dans le code tel que:

hmrc.portal.clearFieldValidationErrors(form); 

suggèrent qu'ils essayaient d'être HMRC, avec le reste du code étant simple validation de l'information en cours de saisie; Je vais deviner que le contenu a été pris de la section «Inscription» de ce site