Une attaque de phishing réussie utilise la ruse pour inciter des suspects involontaires à révéler des détails personnels ou à cliquer sur un lien malveillant. La complexité des attaques de phishing est également devenue de plus en plus forte au fil des ans. Et bien que le simple e-mail avec un faux logo d'entreprise fonctionne toujours, les escrocs vont plus loin pour mettre en œuvre leurs escroqueries.
Le dernier jeu du livre des escrocs par hameçonnage est l'usurpation d'URL --- une URL sosie se faisant passer pour celle à laquelle vous faites habituellement confiance. Mais comment un escroc fait-il pour que son URL se ressemble ? Et comment éviter d'être pris au dépourvu ? Jetons un coup d'œil.
Pour comprendre comment un escroc usurpe une URL, vous devez en savoir un peu plus sur le fonctionnement des noms de domaine.
Jusqu'en 2009, les URL ne pouvaient comprendre que les lettres latines de a à z, sans accents, glyphes ou autres symboles. L'Internet Corporation for Assigned Names and Numbers (ICANN), une organisation à but non lucratif qui gère des bases de données vitales intrinsèques au fonctionnement d'Internet, a changé ce système. les internautes pouvaient désormais enregistrer des URL à l'aide d'une vaste gamme de scripts alternatifs, notamment le grec, le cyrillique et le chinois, ainsi que des caractères latins contenant des accents, etc.
Il y a une bonne raison à ce changement. À mesure qu'Internet se développe, la démographie de ses utilisateurs change. Par exemple, de 2009 à 2017, le nombre d'internautes en Amérique du Nord est passé de 259 millions à 320 millions, soit une augmentation de 23 %. Dans le même temps, le nombre d'internautes en Asie est passé de 790 millions à 1 938 milliards, soit une augmentation de 145 %.
Alors que le marché nord-américain et une grande partie du marché européen se dirigent vers la saturation, le reste du monde commence à peine à se connecter, et ce sont ces langues et ces alphabets qui façonnent l'orientation d'Internet.
L'introduction d'un large éventail de nouveaux scripts pour l'enregistrement de domaine URL était une nouvelle avenue d'attaque pour les escrocs. Également connu sous le nom d'attaque de nom de domaine homographique, les escrocs enregistrent des URL en utilisant des caractères non latins qui ressemblent exactement à leurs homologues habituels.
Prenons l'URL makeuseof.com comme exemple. L'URL normale utilise des caractères latins standard. Mais nous pouvons apporter des modifications incroyablement subtiles à l'URL en utilisant des caractères non standard. En fait, cette fois-ci, makeuseof.com est écrit de manière totalement différente. Comment ?
Je remplace le "a" latin (U+0041, l'identifiant Unicode du caractère) par un "a" (U+0430) de l'alphabet cyrillique, et le "o" latin (U+006F) par le petit Omicron (U+ 03BF) de l'alphabet grec. Remarquez la différence? Bien sûr que non. Et c'est précisément pourquoi l'usurpation d'URL fonctionne. L'introduction de lettres homographiques (visuellement similaires) dans l'URL d'origine permet à un escroc potentiel d'enregistrer l'URL makeuseof.com.
Combinez la fausse URL avec un certificat HTTPS volé et un escroc peut usurper l'identité du site même sur lequel vous lisez cet article (attendez... est-ce le vrai site ?).
L'URL makeuseof.com en est un excellent exemple car elle comporte deux caractères homographiques. À d'autres moments, les escrocs substituent des lettres similaires qui incluent également des accents, des glyphes, des signes diacritiques, etc. Utilisons à nouveau l'URL makeuseof.com, mais cette fois en utilisant un plus large éventail de caractères de substitution.
Pour illustrer ce point, j'ai inclus quelques modifications de caractères assez évidentes dans l'exemple ci-dessus. Voici également à quoi ressemble notre fausse URL dans l'Omnibox de Google Chrome.
Se démarque, non? Si l'URL apparaît sous forme de lien dans un e-mail, certains utilisateurs ne verront pas la différence. La même chose peut être dite pour la barre d'état du navigateur qui prévisualise l'URL sur laquelle vous êtes sur le point de cliquer. Il est petit et quelque peu hors de vue, vous ne remarquerez donc peut-être pas une URL présentant des différences plus subtiles que notre exemple.
Vous n'avez pas à devenir une victime. Certains navigateurs modernes prennent déjà des mesures pour empêcher les utilisateurs de visiter des sites d'URL similaires. Chrome, Safari, Opera et Microsoft Edge ont tous mis en place des mesures d'atténuation.
Le site de Brian Krebs offre un excellent exemple de cette tactique d'atténuation, où une version discrète mais fausse de ca.com se résout en fait en xn--80a7a.com .
Cette traduction est connue sous le nom de "Punycode" et de nombreux navigateurs utilisent ce format d'encodage spécial pour fournir une protection directe contre les attaques de phishing par homographe. Punycode verrouille essentiellement le jeu de caractères du navigateur sur un jeu ASCII de base contenant a-z, A-Z et 0-9 (également connu sous le nom de règle LDH, pour L lettres, D chiffres, H tirets).
Vous voulez voir comment votre site Web prend forme? Découvrez ce vérificateur de domaine développé par Hold Security. Insérez votre domaine et le domaine de premier niveau correspondant (tel que .com ou .org) dans la recherche, et c'est parti. Heureusement pour nous, il n'y a pas d'imitateurs de makeuseof.com sur Internet --- mais il y a 186 variantes possibles si quelqu'un voulait imiter le site.
Les attaques de phishing par homographe de nom de domaine internationalisé ne sont pas si nouvelles. Ils gagnent en notoriété parce que les escrocs font un meilleur usage de leur ensemble d'outils disponibles. L'attaque par homographe est en fait très similaire à une autre escroquerie par hameçonnage de domaine :le typosquatting.
Le typosquattage consiste à enregistrer une multitude de noms de domaine souvent mal orthographiés et à héberger du contenu malveillant ou un faux portail de connexion pour les utilisateurs peu méfiants. Par exemple, combien de fois avez-vous tapé rapidement "Amozon" ou "Facebok ?" En fait, les sites plus importants comme celui-ci expliquent parfois les fautes d'orthographe, et vous vous retrouverez au bon endroit... la plupart du temps. Vous devez cependant rester vigilant.
Repérer une URL trafiquée ou falsifiée s'accompagne de son propre ensemble de difficultés. De plus, si l'URL malveillante a un certificat HTTPS "légitime", cela rend la détection un peu plus difficile. Mais vous n'avez pas à lutter seul.
Comme mentionné précédemment, votre navigateur tente déjà d'atténuer ce problème en forçant toutes les URL à adhérer au Punycode. En dehors du navigateur, cependant, vous volez plus ou moins en solo --- mais voici néanmoins quelques conseils.
Et, comme toujours, l'éducation sur la myriade de menaces de sécurité auxquelles nous sommes confrontés en ligne est la meilleure tactique d'atténuation de toutes. Une fois que vous commencez à remarquer certaines des activités en ligne malveillantes les plus évidentes qui se déroulent autour de vous, vous travaillez immédiatement de manière beaucoup plus sûre .
