Dans des précédents articles, j’avais présenté le Typosquatting ainsi que les attaques phishing ciblant l’ANTAI sous couvert d’amendes à payer.
Dans cette dernière, les attaquant imitent des domaines internet légitimes afin de tromper les internautes.
Cette méthode d’attaque se nomme Combosquatting.
Le but est de rendre les attaques d’hameçonnage plus efficaces.
Dans ce tutoriel, je vous explique ce qu’est le Combosquatting.
Table des matières
Qu’est-ce que le Combosquatting ?
Les fausses URL sont un élément essentiel du phishing, une escroquerie qui consiste à obtenir frauduleusement les données d’une personne en se faisant passer pour une entité légitime et digne de confiance. C’est ce que l’on appelle souvent l’usurpation d’URL. Les criminels cherchent à obtenir des données de connexion et des informations financières ou tentent d’installer des logiciels malveillants sur l’appareil.
Des chercheurs ont révélé qu’après avoir utilisé des courriels d’apparence légitime pour tromper les utilisateurs, les attaquants déploient désormais des sites web avec des URL similaires à ceux de la réalité. Et non, il n’y a pas de fautes de frappe ici.
Sous le nom de combosquatting, les criminels enregistrent des domaines qui imitent des domaines internet existants.
Par exemple, ils peuvent enregistrer www.nombanque-securite.com ou www.securite-votrebanque.com pour tromper un utilisateur qui aurait jeté un coup d’œil pour s’assurer que le nom de la banque est bien là et qu’il lui semble familier, mais qui ne se souviendrait pas de l’aspect habituel de l’URL.
Le combosquatting est une technique relativement récente qui a été précédée par le typosquatting, dans lequel les attaquants enregistraient des variantes de domaines populaires tapés de manière incorrecte.
Par exemple, www.votrebanqeunom.com ou www.faecbook.com, goggle.com, etc.
Les domaines qui font l’objet d’un combosquatting ne dépendent pas des erreurs de frappe des victimes, mais fournissent des liens malveillants intégrés dans des courriels utilisés dans des attaques par phishing et hammeçonnage, des publicités sur le web ou des résultats de recherches sur le web.
Les attaquants qui pratiquent le “combosquatting” associent souvent le nom de la marque déposée à un terme conçu pour donner un sentiment d’urgence afin d’encourager les victimes à cliquer sur ce qui semble être, à première vue, un lien légitime.
Les méthodes utilisées par le Combosquatting
Enregistrer des domaines internet proches de ceux excitants
Les cybercriminels vont enregistrer des domaines internet proches de ceux existants.
Par exemple ci-dessous, plusieurs domaines internet sont enregistrés autour du nom de la banque BNP Parisbas.
Même chose avec des domaines internet comportant le mot Chronopost très visé par le phishing.
Les internautes enregistrent aussi des domaines qui peuvent paraître légitimes.
Par exemple chronopost-assistant.fr, chronopost-clients.fr ou chronopost-client-suivi.fr pour se faire passer pour le service client.
Le domaine chronopost-auto-mms.fr peut être utilisés dans des campagnes de smshing.
Vous trouverez de nombreux exemples sur cette page : Le phishing ou hameçonnage : le TypoSquatting et Combosquatting
L’unicode pour imiter des domaines internet légitimes
Parmi les domaines internet utilisés dans le Combosquatting, on trouve par exemple :
- ciient-bnpparibas.fr
- ciient-sfr.fr
- ciients-sfr.fr
Ici le but est d’utiliser le fait que la lettre i ressemble à la lettre l.
Un internaute étourdi ou fatigué peut tomber dans le piège en pensant qu’il s’agit d’un domaine légitime.
On peut utiliser cette méthode trompeuse avec la lettre O et le chiffre 0, par exemple www.faceb0k.com
Mais une autre façon de maximiser encore la ressemblance avec un vrai nom de domaine est l’utilisation de domaine avec des caractères unicode.
Généralement, les URL que vous tapez sont en ASCII, c’est-à-dire en American Standard Code for Information Interchange (code standard américain pour l’échange d’informations).
Cependant, en 2003, une spécification (RFC 3492) a été ajoutée pour permettre l’utilisation de caractères Unicode dans les noms de domaine. Unicode est une norme industrielle pour le codage des textes exprimés dans la plupart des langues écrites du monde. L’idée sous-jacente était de donner aux utilisateurs internationaux de l’internet la possibilité de suivre des liens dans leur propre langue.
En 2017, le chercheur Xudong Zheng a publié l’année dernière une démonstration de faisabilité qui met en évidence ce problème. Dans cette démonstration, Zheng utilise Unicode pour produire une page web qui ressemble à celle d’Apple. Pour ce faire, il a créé un domaine avec Punycode, qui permet de créer des noms de domaine internationalisés. Il a ensuite mélangé l’Unicode avec l’ASCII pour créer un site web qui donne réellement “Apple.com”
Un “A” en ASCII (U+0061) est différent d’un “A” cyrillique (U+0430), ce qui permet d’enregistrer un nom de domaine pour du Combosquatting.
Ci-dessous, une capture d’écran de LibreOffice de ces lettres A avec un encodage différent mais avec la même police de caractères.
On voit bien que les A sont sensiblements différents.
Mais le navigateur internet les affichera tous les deux de la même manière dans la barre d’adresse. Or, en règle générale, les navigateurs affichent la forme Punycode afin de limiter toute confusion avec le véritable site Apple.com. Toutefois, M. Zheng a constaté que le mécanisme de défense de Chrome et de Firefox ne fonctionnait pas si chaque caractère était remplacé par un caractère similaire de la même langue.
Comment se défendre contre le Combosquatting
Le Combosquatting repose essentiellement sur la méconnaissance des internautes dans les mécanismes des noms de domaine.
Par exemple, le nom de domaine sfr.fr permet de créer des sous-domaines comme www.sfr.fr, assistance.sfr.fr ou encore mail.sfr.fr
Comme on vient de le voir, dans le Combosquatting, les cybercriminels enregistrent des domaines qui jouent souvent avec le caractère “-“.
Par exemple, clients-sfr.fr est un domaine internet complètement différent de sfr.fr.
Comprendre le fonctionnement général des domaines internet est essentiel pour mieux se défendre face à cette technique avancée d’hameçonnage.
Voici quelques vérifications à effectuer :
- Vérifier l’intégralité du mail : adresse de l’expéditeur, les fautes et erreur de typographique, ou encore la véracité du contenu du mail
- En cas de doute, utilisez le service VirusTotal
- Vous pouvez aussi vous aider de ce tutoriel : comment vérifier si un site est malveillant
- Vous pouvez suivre ce tutoriel pour obtenir des informations d’un site WEB. Par exemple, pour vérifier l’hébergeur du site ou encore sa localisation géographique du serveur WEB
Enfin en cas de doute, ne faites rien et contactez le service client pour s’assurer qu’ils sont bien l’expéditeur du mail.
Liens
- Le phishing ou hameçonnage par mail : le détecter et s’en protéger
- Le phishing ou hameçonnage
- Phishing et arnaque : utilisation du plein écran sur les navigateurs internet
- Le Tabnabbing : méthode de phishing à connaître
- Exemple de Phishing par SMS (smshing) visant SFR
- Exemple d’un phishing impots
- Arnaque au retard d’amende non payé (phishing)
- Le phishing par Browser-in-the Browser (BITB) : comment ça marche
- Comment se protéger du phishing par SMS (smshing) sur téléphone portable
- Qu’est-ce qu’une attaque par ingénierie sociale
- Typosquatting : Attaque par de faux sites malveillants
- Combosquatting : inciter à faire confiance à des URL malveillants