Les chercheurs en sécurité ont émis une mise en garde sur la prolifération de nouvelles campagnes de phishing de plus en plus élaborées. Baptisées « attaques homographiques », elles s'appuient sur les noms de domaine internationalisés que l'ICANN a introduit en 2003 et qui permettent de créer des URL avec des caractères autres que latins.
Pour faire la démonstration, Xudong Zheng, un chercheur en sécurité informatique, a mis en place une fausse adresse « apple.com » en utilisant des caractères cyrilliques. Une fois que l'on se retrouve sur la page, tout semble normal. La connexion est en HTTPS et on se rend compte que le site dispose d'un certificat de sécurité, exactement comme le site original.
Le phishing a fait de gros progrès au fil des années
C'est de cette manière que les attaques homographiques sont mises en place. Si elles ne datent pas forcément d'hier, le fait de les utiliser avec les noms de domaine internationalisés les rend redoutables.
Autrefois, les campagnes de phishing utilisaient un duo d'outils pour mettre en œuvre leurs attaques. Ils s'appuyaient sur différents types d'emails frauduleux qui reprenaient les codes visuels d'un organisme incitant ainsi les internautes à se rendre sur un site web également frauduleux.
Les victimes étaient ensuite amenées à renseigner d'elles-mêmes des données personnelles notamment des identifiants, des mots de passe, des numéros de sécurité sociale ou même des numéros de carte bancaire.
Toutefois, il suffisait d'examiner attentivement l'adresse du site pour se rendre compte de la supercherie.
Une technique bien ficelée… et extrêmement dangereuse
Ce qui n'est pas le cas pour les attaques homographiques qui connaissent depuis quelque temps une forte expansion. Pour une personne qui ne possède aucune expérience dans le domaine, il est en effet presque impossible de repérer la différence entre site officiel et site frauduleux.
Le seul moyen de contourner cette technique consiste à vérifier le certificat.
Pour détecter la fraude, la seule option est finalement de vérifier dans le détail le certificat de la page web en s'appuyant sur les outils du navigateur. Avec cette technique, vous vous rendrez compte que la véritable URL du site n'est pas Apple.com, mais - www.xn-80ak6aa92e.com - , ce qui n'a pas grand-chose à voir avec le site de la marque à la pomme.