{"id":20872,"date":"2023-08-01T15:48:09","date_gmt":"2023-08-01T13:48:09","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=20872"},"modified":"2023-08-01T15:48:09","modified_gmt":"2023-08-01T13:48:09","slug":"lookalike-domains-in-bec","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/lookalike-domains-in-bec\/20872\/","title":{"rendered":"Des domaines qui ressemblent \u00e0 ceux de sites authentiques et comment les d\u00e9tecter"},"content":{"rendered":"

Vous \u00eates au travail et vous avez re\u00e7u un message qui vous demande de modifier le mot de passe de votre adresse e-mail, de confirmer les dates de vos vacances ou de faire de toute urgence un virement pour le PDG. Ces demandes inattendues peuvent \u00eatre le d\u00e9but d\u2019une attaque informatique qui cherche \u00e0 s\u2019en prendre \u00e0 votre entreprise. C\u2019est pourquoi vous devez vous assurer qu\u2019il ne s\u2019agit pas d\u2019une arnaque. Mais comment v\u00e9rifier les adresse e-mail ou les liens des sites\u00a0?<\/p>\n

Le nom de domaine est g\u00e9n\u00e9ralement la pi\u00e8ce centrale d\u2019un faux message\u00a0; il s\u2019agit de la partie de l\u2019e-mail qui se trouve apr\u00e8s @ ou du d\u00e9but de l\u2019URL. L\u2019objectif est d\u2019inspirer confiance \u00e0 la victime. Il est vrai que les cybercriminels adoreraient pirater le domaine officiel de l\u2019entreprise cibl\u00e9e, ou d\u2019un de ses fournisseurs ou de ses partenaires officiels, mais cette option est g\u00e9n\u00e9ralement impossible au d\u00e9but de l\u2019attaque. Ainsi, avant de lancer une attaque cibl\u00e9e, ils enregistrent un domaine qui ressemble \u00e0 celui de l\u2019entreprise o\u00f9 travaille la victime et esp\u00e8re que cette derni\u00e8re ne verra pas la diff\u00e9rence. Ces techniques sont connues comme les attaques d\u2019usurpation. L\u2019\u00e9tape suivante consiste \u00e0 h\u00e9berger un faux site sur le domaine ou \u00e0 envoyer des messages d\u2019usurpation \u00e0 partir de bo\u00eetes mail associ\u00e9es<\/a>.<\/p>\n

Dans cet article, nous analysons certaines des astuces utilis\u00e9es par les cybercriminels pour vous emp\u00eacher de remarquer qu\u2019il s\u2019agit d\u2019un domaine usurp\u00e9.<\/p>\n

Les homoglyphes : des lettres diff\u00e9rentes mais une m\u00eame orthographe<\/h2>\n

Une astuce consiste \u00e0 utiliser des lettres visuellement tr\u00e8s ressemblantes voire indistinguables. Par exemple, la lettre \u00ab\u00a0L\u00a0\u00bb en minuscules (l) est identique \u00e0 un \u00ab\u00a0i\u00a0\u00bb majuscule (I) dans de nombreuses polices de caract\u00e8re, ce qui fait qu\u2019un message envoy\u00e9 depuis l\u2019adresse JOHN@MlCROSOFT.COM pourrait m\u00eame tromper les utilisateurs les plus attentifs. \u00c9videmment, la v\u00e9ritable adresse de l\u2019exp\u00e9diteur est john@mL<\/strong>crosoft.com !<\/p>\n

Le nombre de doubles diaboliques a augment\u00e9 depuis qu\u2019il est possible d\u2019enregistrer les domaines dans plusieurs langues, y compris ceux qui n\u2019utilisent pas l\u2019alphabet latin. Une personne est incapable de faire la diff\u00e9rence entre un \u00ab\u00a0\u03bf\u00a0\u00bb grec, un \u00ab\u00a0\u043e\u00a0\u00bb russe et un \u00ab\u00a0o\u00a0\u00bb latin, alors que ce sont trois lettres diff\u00e9rentes pour un ordinateur. C\u2019est ce qui permet d\u2019enregistrer plusieurs domaines qui ressemblent tous \u00e0 microsoft.com en utilisant diverses combinaisons de \u00ab\u00a0o\u00a0\u00bb. Ces techniques qui utilisent des lettres visuellement similaires sont connues comme les attaques homoglyphes ou homographes.<\/p>\n

Le combosquatting : un petit plus<\/h2>\n

Au cours de ces derni\u00e8res ann\u00e9es, le combosquatting est devenu populaire aupr\u00e8s des cybercriminels. Pour imiter l\u2019adresse e-mail ou le site de l\u2019entreprise cibl\u00e9e, ils cr\u00e9ent un domaine qui associe le nom et un mot-cl\u00e9 pertinent, comme Microsoft-login.com ou SkypeSupport.com. L\u2019objet de l\u2019e-mail et la fin du nom de domaine doivent correspondre. Par exemple, un message \u00e0 propos d\u2019un acc\u00e8s non autoris\u00e9 au compte de la messagerie \u00e9lectronique devrait ouvrir un site qui contient le domaine outlook-alert.<\/p>\n

Cette situation s\u2019aggrave du fait que certaines entreprises utilisent des mots-cl\u00e9s dans leurs domaines. Par exemple, login.microsoftonline.com est un site de Microsoft parfaitement l\u00e9gitime.<\/p>\n

Selon Akamai<\/a>, les mots-cl\u00e9s de combosquatting les plus populaires sont\u00a0: support (assistance), com, login (connexion), help (aide), secure\u00a0 (s\u00e9curis\u00e9), www, account (compte), app (application), verify (v\u00e9rification) et service. Deux d\u2019entre eux, www et com, m\u00e9ritent une attention particuli\u00e8re. On les trouve souvent dans les noms des sites et un utilisateur inattentif pourrait ne pas remarquer le point manquant\u00a0: wwwmicrosoft.com, microsoftcom.au.<\/p>\n

L\u2019usurpation de domaine de premier niveau<\/h2>\n

Les cybercriminels arrivent parfois \u00e0 enregistrer un clone dans un domaine de premier niveau diff\u00e9rent (TLD), comme microsoft.co au lieu de microsoft.com ou office.pro au lieu de office.com. Dans ce cas, le nom de l\u2019entreprise usurp\u00e9e peut \u00eatre le m\u00eame. Cette technique est connue comme le squatting de TLD.<\/p>\n

Un remplacement de ce genre peut \u00eatre tr\u00e8s efficace. Il a r\u00e9cemment \u00e9t\u00e9 signal\u00e9 que, pendant des dizaines d\u2019ann\u00e9es, plusieurs sous-traitants et partenaires du d\u00e9partement de la D\u00e9fense des \u00c9tats-Unis envoyaient par erreur leurs messages au domaine .ML qui appartient au Mali au lieu du domaine .MIL de l\u2019arm\u00e9e am\u00e9ricaine. En 2023 seulement, un sous-traitant hollandais a intercept\u00e9 plus de 117 000 e-mails envoy\u00e9s<\/a> \u00e0 la mauvaise adresse et re\u00e7us par le Mali au lieu du d\u00e9partement de la D\u00e9fense.<\/p>\n

Le typosquatting : des domaines mal \u00e9crits<\/h2>\n

La technique la plus simple (qui est aussi la premi\u00e8re qui a vu le jour) pour produire des domaines clon\u00e9s consiste \u00e0 exploiter plusieurs fautes de frappe qui sont faciles \u00e0 faire mais difficiles \u00e0 d\u00e9tecter. Beaucoup de variations entrent en jeu\u00a0: l\u2019ajout ou la suppression de lettres en double (ofice.com au lieu de office.com), l\u2019ajout ou la suppression de la ponctuation (cloud-flare ou c.loudflare au lieu de cloudflare), la substitution de lettres semblables phon\u00e9tiquement (savebank au lieu de safebank), etc.<\/p>\n

Les spammeurs et les fraudeurs publicitaires ont \u00e9t\u00e9 les premiers \u00e0 utiliser les fautes de frappe mais, de nos jours, cette technique est utilis\u00e9e conjointement avec un faux site pour pr\u00e9parer le terrain pour des attaques d\u2019hame\u00e7onnage cibl\u00e9 (spear phishing<\/em>) et de compromission de la messagerie d\u2019entreprise (BEC)<\/a>.<\/p>\n

Comment vous prot\u00e9ger contre les domaines clon\u00e9s et les attaques d\u2019usurpation<\/h2>\n

Les homoglyphes sont les plus difficiles \u00e0 d\u00e9tecter et ne sont g\u00e9n\u00e9ralement pas utilis\u00e9s \u00e0 des fins l\u00e9gales. Par cons\u00e9quent, les d\u00e9veloppeurs de navigateur et, en partie, les registraires de domaines essaient de se prot\u00e9ger contre ces attaques. Dans certaines zones de domaine, par exemple, il est interdit d\u2019enregistrer des noms avec des lettres d\u2019autres alphabets. Pourtant, beaucoup de domaines de premier niveau ne profitent pas d\u2019une telle protection et vous devez vous fier des outils de s\u00e9curit\u00e9<\/a>. Il est vrai que de nombreux navigateurs affichent les noms de domaine d\u2019une fa\u00e7on assez sp\u00e9ciale puisqu\u2019ils m\u00e9langent les alphabets. C\u2019est parce qu\u2019ils repr\u00e9sentent l\u2019URL en\u00a0punycode<\/a>. Nous avons donc quelque chose qui ressemble \u00e0 \u00e7a\u00a0: xn--micrsoft-qbh.xn--cm-fmc<\/em> (il s\u2019agit du site de microsoft.com avec deux \u00ab\u00a0o\u00a0\u00bb de l\u2019alphabet russe).<\/p>\n

L\u2019attention est la meilleure d\u00e9fense contre le typosquatting et le combosquatting. Pour la d\u00e9velopper, nous conseillons \u00e0 tous les employ\u00e9s de suivre une formation de base en cybers\u00e9curit\u00e9<\/a>\u00a0pour apprendre \u00e0 d\u00e9tecter les principales techniques d\u2019hame\u00e7onnage.<\/p>\n

Malheureusement, les cybercriminels disposent d\u2019un vaste arsenal et ne se limitent pas qu\u2019\u00e0 lancer des attaques d\u2019usurpation. Faire attention ne suffit pas lorsqu\u2019il s\u2019agit d\u2019attaques minutieusement ex\u00e9cut\u00e9es et personnalis\u00e9es pour une entreprise sp\u00e9cifique. Par exemple, cette ann\u00e9e, les cybercriminels ont cr\u00e9\u00e9 un faux site qui a clon\u00e9 la passerelle intranet des employ\u00e9s de Reddit<\/a> et ont r\u00e9ussi \u00e0 compromettre l\u2019entreprise. Ainsi, les \u00e9quipes de s\u00e9curit\u00e9 informatique doivent penser \u00e0 la formation du personnel mais doivent aussi prendre en compte certains outils de protection essentiels\u00a0:<\/p>\n