(Homograph Attack)

Phishing par homoglyphie (Glossaire)

Parmis ces sites, lesquels sont réguliers ?

— amɑzon.com — ɑmɑzonɑws.com — ɑndroid.com — ɑppɩe.com — chɑse.com — cɩoudfɩare.com — deɩɩ.com — ebɑy.com — gmɑiɩ.com — gooɡleapis.com — ɡmɑil.com — ɡoogɩe.com — ɡstatic.com — huffinɡtonpost.com — instaɡram.com — microsoftonɩine.com — netfɩix.com — nvidiɑ.com — pɑypɑɩ.com — sɑlesforce.com — steɑmpowered.com — theɡuardian.com — theverɡe.com — washinɡtonpost.com — wɑlmɑrt.com — wɑsɑbisys.com — yɑhoo.com —

Une vulnérabilité dans Verisign* a été corrigée, elle permettait aux attaquants d’enregistrer un domaine malveillant en utilisant des homoglyphes à la place de caractères latins traditionnels.
Dans ces exemples : “ɡ” (Voiced Velar Stop), “ɑ” (Latin Alpha), “ɩ” (Latin Iota). Il y a bien d'autres possibilités…
Aucun site de la liste précédente n'est régulier.
https://www.xmco.fr/actualite-veille-cybersecurite-fr/decouverte-dattaques-de-phishing-utilisant-les-homoglyphes

* — VeriSign gère 2 des 13 serveurs racines du DNS, le registre officiel pour les domaines de premier niveau : .com , .net , .name , .cc , .tv , les systèmes back-end pour les domaines de premier niveau .jobs et .edu. Verisign propose également plusieurs services de sécurité comme le DNS géré, la limitation des attaques par déni de service distribué (DDoS) et la création de rapports sur les cybermenaces. — https://fr.wikipedia.org/wiki/Verisign

« twiitter.com » ressemble à « twitter.com », « rnercadolibre.com » ressemble à « mercadolibre.com ». Pour voir la différence, faites un copier/coller dans un éditeur de texte utilisant une police fixe (ex : courrier).
Dans les caractères Unicode, il y a des caractères similaires, voire identiques visuellement, à ceux de l'alphabet latin.
« xn–pple-43d.com » sera interprété comme « apple.com » mais écrit à l'aide de caractères cyrilliques tels que « а » (U +0430) au lieu de l’ASCII « a » (U + 0041). “tωitter.com” (xn–titter-i2e.com dans Punycode) et “gmạil.com” (xn–gmil-6q5a.com).
Punycoder est un outil de conversion Unicode en ASCII/Punycode et vice-versa.
De nombreux navigateurs actuels possèdent des systèmes qui essaient d'empêcher ce type d'attaques. Par exemple, pour Firefox et Chrome, si un domaine contient des caractères de systèmes d'écriture différents d'un affichage Unicode, ils affichent le Punycode correspondant.
Pour Firefox, définir l'option network.IDN_show_punycode sur true afin d'afficher à chaque fois les caractères sous leur forme Punycode.
Le site https://www.gmạil.com parvient à échapper à la protection de Chrome, car celui-ci utilise uniquement des caractères latins, mais en contient un très spécifique (« ạ » - notez bien le point sous le « a ») qui s'affiche sur le navigateur. =⇒ adresse réelle : https://xn--gmil-6q5a.com/
L'utilisation de HTTPS et de certificats n'est pas un gage de sécurité.
⇒ ⇒ ⇒ Examiner attentivement les certificats de sécurité et éviter d'accéder aux sites web via les liens présents dans les emails (tapez l'URL vous-même ou utilisez vos Marques-pages). Enfin, ajoutez une couche de protection supplémentaire à vos comptes en utilisant une authentification à deux facteurs.
WeLiveSecurity — 01 Nov 2018