Gare aux campagnes de phishing de plus en plus évoluées

Le par  |  19 commentaire(s) Source : Xudong Zheng
phishing0

Les chercheurs en sécurité alertent les internautes sur la propagation de nouvelles campagnes de phishing de mieux en mieux organisées et profitent de l'homographie pour piéger les utilisateurs.

Traditionnellement, les campagnes de phishing misent leurs attaques sur un duo d'outils : un email présentant un caractère urgent qui reprend les codes visuels d'un organisme de confiance qui invite une victime à se rendre sur un faux site reprenant lui aussi l'apparence du service associé pour l'inviter à renseigner de lui-même des données personnelles : login, mot de passe, numéro de sécurité sociale, numéro de carte bancaire...

Apple

Généralement, on reconnait rapidement ces tentatives en regardant simplement l'URL du site sur lequel l'utilisateur est renvoyé. L'adresse est généralement bien différente de celle du site officiel.

Pourtant, depuis quelque temps, les attaques dites homographiques se multiplient. Pour s'en rendre compte, le chercheur Xudong Zheng a mis en place un site consultable ici (aucun risque). Arrivé sur la page, on se rend compte que le site dispose d'un certificat de sécurité, qu'il est en HTTPS et qu'il adopte l'Url Apple.com, exactement comme le ferait le véritable site d'Apple.

En fait, le site s'appuie sur les noms de domaines intertionalisés introduits par l'ICANN en 2003. Concrètement, cela permet de créer des URLs avec des caractères différents des caractères latins, ici, le site d'Apple est en fait composé avec des caractères cyrilliques, et il est impossible de repérer la différence sans avoir quelques connaissances.

Ainsi, la seule façon de repérer la supercherie est de vérifier le certificat de la page Web depuis les outils du navigateur. On repère alors que la véritable URL du site n'est pas Apple.com, mais "www.xn--80ak6aa92e.com"

Les premières attaques de ce type ont eu lieu en 2005, mais depuis, aucune parade n'a été mise en place pour les contrer. Les navigateurs ont adopté quelques protections, avec notamment la mise en place de filtre qui décide quand il convient d'afficher les caractères natifs ou latins.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1962445
Ça risque bien d'être un soucis pour un utilisateur standard, avec le cadenas et le nom qui a l'air propre.
Après faut vraiment chercher la signature Let's Encrypt et voir le nom signé :
www.xn--80ak6aa92e.com

Chose que personne ne fera.
Le #1962448
Très à la mode en ce moment (et qui fonctionne pour l'injection d'un ransomware), un lien qui permet le suivi d'un (soit-disant) colis postal arrivé pendant votre absence. Logo, numéro de contact, etc... Tout semble correct sauf... Le lien ! Soyez prudents, 3 cas chez nous en moins de 10 jours.
Le #1962449
Perso je reçois jamais de mail de fishing ou autre... Tout est directement mis en indésirables (merci Microsoft)

Mais bon, il faut rester vigilant c'est certain
Le #1962454
Aucun problème avec la dernière version de Chrome, cette astuce a été contrée.
Le #1962458
Sur mon Firefox de Kubuntu (v52.0.2), je vois clairement la différence, autant dans la barre d'adresse que dans le cadenas, ce n'est pas écrit "Apple" avec un L minuscule mais avec un style de i majuscule. C'est le genre de truc que je grille direct.
Bon d'accord j'étais au courant qu'il allait y avoir un truc et je ne suis pas infaillible, mais c'est le genre de détail que je repère d'habitude ; j'espère que la plèbe saura en faire de même.

Pour faire la différence "il suffirait" de colorer les lettres par type d'alphabet.
Le #1962462
Subutox a écrit :

Sur mon Firefox de Kubuntu (v52.0.2), je vois clairement la différence, autant dans la barre d'adresse que dans le cadenas, ce n'est pas écrit "Apple" avec un L minuscule mais avec un style de i majuscule. C'est le genre de truc que je grille direct.
Bon d'accord j'étais au courant qu'il allait y avoir un truc et je ne suis pas infaillible, mais c'est le genre de détail que je repère d'habitude ; j'espère que la plèbe saura en faire de même.

Pour faire la différence "il suffirait" de colorer les lettres par type d'alphabet.


Tu fais la différence entre le I (i) et le l (L), très fort, sachant que c'est sur le "a"

"It may not be obvious at first glance, but "аpple.com" uses the Cyrillic "а" (U+0430) rather than the ASCII "a" (U+0061)".
Le #1962463
Par contre en lisant la suite, je découvre ce réglage :

"Firefox users can limit their exposure to this bug by going to about:config and setting network.IDN_show_punycode to true. This will force Firefox to always display IDN domains in its Punycode form, making it possible to identify malicious domains."

Et la on voit bien le nom www.xn--80ak6aa92e.com
J'en profite pour le faire
Le #1962474
Padrys a écrit :

Subutox a écrit :

Sur mon Firefox de Kubuntu (v52.0.2), je vois clairement la différence, autant dans la barre d'adresse que dans le cadenas, ce n'est pas écrit "Apple" avec un L minuscule mais avec un style de i majuscule. C'est le genre de truc que je grille direct.
Bon d'accord j'étais au courant qu'il allait y avoir un truc et je ne suis pas infaillible, mais c'est le genre de détail que je repère d'habitude ; j'espère que la plèbe saura en faire de même.

Pour faire la différence "il suffirait" de colorer les lettres par type d'alphabet.


Tu fais la différence entre le I (i) et le l (L), très fort, sachant que c'est sur le "a"

"It may not be obvious at first glance, but "аpple.com" uses the Cyrillic "а" (U+0430) rather than the ASCII "a" (U+0061)".


Est-ce que comme ça avec une capture écran, ça t'irait ?

https://framapic.org/qCFQE639j5hn/qGAk35sssj5g.jpg

Si j'ai pris le temps d'expliquer ce n'était pas pour inventer un truc ou me tromper lourdement, je l'ai bien constaté .
Peut-être que le caractère modifié a changé depuis, mais quand je vais sur le lien fourni par GNT, ça fait apparaître comme sur ma capture (je n'ai pas pu faire apparaître la boite flottante du cadenas car celle-ci disparaît au moment de l'impression écran).

En tous cas mon Firefox de Kubuntu fait la différence, ce qui suffit a indiquer la supercherie (comme je le disais, c'est grillé d'avance avec une écriture comme ça dans la barre d'adresse).
Le #1962503
Safirion a écrit :

Perso je reçois jamais de mail de fishing ou autre... Tout est directement mis en indésirables (merci Microsoft)

Mais bon, il faut rester vigilant c'est certain


Qu'est-ce qu'ils sont forts chez MS !
Heureusement que MS existe.
Merci MS.
Le #1962524
dotto a écrit :

Safirion a écrit :

Perso je reçois jamais de mail de fishing ou autre... Tout est directement mis en indésirables (merci Microsoft)

Mais bon, il faut rester vigilant c'est certain


Qu'est-ce qu'ils sont forts chez MS !
Heureusement que MS existe.
Merci MS.


Peut-être as-tu une meilleur boite mail qui filtre mieux les spam ?
Je t'en prie, partage ton expérience
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]