Phishing en punycode

Aujourd’hui, Il y a une attaque de phishing qui reçoit  beaucoup d’attention dans la communauté de la cybersécurité. Découvert par un chercheur chinois de INFOSEC c’est une attaque de phishing « presque impossible à détecter » qui peut être utilisé pour tromper les utilisateurs les plus prudents sur Internet.

Il a affirmé que les pirates peuvent utiliser une vulnérabilité connue dans les navigateurs web tel que Chrome, Firefox et Opera pour afficher leurs faux noms de domaine en tant que services légitimes comme Apple, Google ou Amazon dans le but de voler des informations sensible de connexion ou financiers.

En règle générale la meilleure défense contre les attaques de phishing est la vérification de la barre d’adresse après le chargement de la page et si elle est servi sur une connexion HTTPS valide.

Alors avant de passer aux détails approfondis, veuillez d’abord jeter un oeil à cette page de démonstration  mis en place par le chercheur en sécurité chinoise Xudong Zheng, qui a découvert l’attaque. À titre de comparaison, vous pouvez cliquer ici pour visiter le vrai epic.com .

« Il est impossible d’identifier le site comme frauduleux sans inspecter soigneusement l’ URL ou le certificat SSL du site. » a déclaré Xudong Zheng.

Voici à quoi ressemble le vrai epic.com dans Chrome:

Voici la page de phishing epic.com dans Chrome:

Et le vrai epic.com dans Firefox:

Et voici le faux epic.com dans Firefox:

Si votre navigateur Web affiche « epic.com » dans la barre d’adresse sécurisée par SSL, mais le contenu de la page provient d’un autre serveur (comme le montre l’image ci - dessus), votre navigateur est vulnérable à l’attaque homographes.

Comme vous pouvez le voir ces domaines apparaissent identiques dans le navigateur, mais ils sont à la fois complètement différents. Notre domaine epic.com est en fait le domaine https://xn–e1awd7f.com/ mais il apparaît dans Chrome et Firefox comme étant “epic.com”.

Le vrai epic.com est un site de santé. En utilisant notre domaine unicode, nous pourrions cloner le vrai site de epic.com, puis commencer à envoyer des gens et essayer de les amener à envoyer des informations sensible.

Comment est-ce possible?

L’attaque homographes est connue depuis 2001, mais les éditeurs de navigateurs ont du mal à résoudre ce problème. C’est une sorte d’attaque où l’ usurpation d’ identité d’une adresse de site Web semble légitime parce qu’un ou plusieurs caractères ont été remplacés trompeusement avec des caractères Unicode.

De nombreux caractères unicode qui représente l’alphabet grec, cyrillique et arménien dans les noms de domaine internationalisés, ont occasionnellement le même aspect que les lettres latines à l’œil.Mais sont traités différemment par les ordinateurs.

Le préfixe xn– est ce qu’on appelle un préfixe d’encodage compatible ASCII. Il permet au navigateur de savoir que le domaine utilise le codage « punycode » pour représenter les caractères Unicode. En langage non-technophile, cela signifie que si vous avez un nom de domaine avec des caractères chinois, vous pouvez enregistrer ce nom de domaine avec des caractères normaux A-Z qui permette à un navigateur de représenter ce domaine en tant que caractères internationaux dans la barre d’adresse.

Ce qui a été fait ci-dessus est d’utilisé les caractères unicode « e »,« p », « i » et « c » qui semblent identiques aux vrais caractères mais sont  de différents caractères unicode.

Par défaut, de nombreux navigateurs Web utilisent « Punycode encoding » pour représenter les caractères Unicode dans l’URL pour se défendre contre les attaques de phishing homographes. Punycode est un codage spécial utilisé par le navigateur Web pour convertir les caractères Unicode au système limité de caractères de ASCII (AZ, 0-9), pris en charge par Noms de domaine internationalisés (IDNs). Par exemple, le domaine chinois « 短.co » est représenté en Punycode comme « xn–s7y.co ». Selon Zheng, la vulnérabilité repose sur le fait que les navigateurs Web rendent uniquement les URL Punycode dans une langue en Unicode (comme seulement chinois ou japonais seulement), mais ils ne parviennent pas si un nom de domaine contient des caractères de plusieurs langues.

Comment résoudre ce problème dans Firefox?

Dans votre barre d’adresse de Firefox, tapez « about: config » sans les guillemets.

Faites une recherche pour « punycode » sans les guillemets.

Vous devriez voir un paramètre intitulé: network.IDN_show_punycode

Modifiez la valeur de false à true.

Maintenant , si vous essayez de visiter le site de dé monstration , vous devriez voir:

Est-il possible de résoudre ce problème sur Chrome?

À l’heure actuelle, nous ne sommes pas au courant d’une solution manuelle pour Chrome. Chrome a déjà publié un correctif dans leur version « canari », ce qui est leur version de test. Cela devrait être dévoiler au grand public dans les prochains jours.

En attendant, si vous ne savez pas si vous êtes sur un site réel, vous pouvez copier l’URL dans la barre d’adresse et la coller dans le Bloc-notes ou TextEdit sur Mac.S’Il apparait comme https://xn– … ..  alors c’est un fake. Dans le cas contraire, il apparaît que le domaine réel dans sa forme non codée.

Les internautes sont toujours conseillé de saisir manuellement les URL du site dans la barre d’adresse pour les sites importants tels que Gmail, Facebook, Twitter, Yahoo ou sites bancaires, au lieu de cliquer sur un lien figurant sur un certain site Web ou par courriel, pour prévenir contre de telles attaques indétectables.