Table des matières
L'attaque de phishing par homographe est de retour et il est impossible de la détecter
Des nouvelles sont arrivées d'un chercheur d'informations chinois qui aurait redécouvert la vulnérabilité des navigateurs Web à une certaine arnaque de phishing qui peut prendre au dépourvu même les utilisateurs les plus prudents. Le chercheur a confirmé que la vulnérabilité est absolument impossible à suivre dans la plupart des versions des navigateurs Firefox, Opera et Chrome. Plus gravement, il est également tout à fait impossible de retracer l'astuce sur les versions mobiles de ces navigateurs.
Les domaines d'apparence légitime pourraient être faux
La principale gaffe causée par l'attaque de pêche à l'homographe est de simuler des noms de domaine absolument faux et de les faire ressembler aux répliques exactes de services comme Apple, Google ou Amazon. La plupart des utilisateurs ne seront pas en mesure de dire la raison pour laquelle un domaine légitime affiche un message d'erreur étrange. Dans le processus, ils pourraient finir par fournir des informations d'identification sensibles de connexion et de comptes financiers.
Cela peut être particulièrement offensant si l'attaque vise à voler des données sensibles ou demande aux utilisateurs de réaffirmer leurs informations de connexion avant de continuer.
Regardez ces exemples de faux site Web
On pourrait dire qu'il est presque impossible de battre le site Web apple.com et pourtant pas être sur le site Web d'Apple. Cependant, c'est exactement ce que le chercheur a nié dans ce page de démonstration ici. Vous pourriez également subir un léger temps d'arrêt car de nombreuses personnes consultent la page en ce moment (y compris certaines chez Apple, espérons-le).
Le faux site Web d'Apple
Véritable site Web Apple
Le découvreur de l'attaque Xudong Pengm a écrit un blog détaillé sur le même. Il dit:
"Pour les utilisateurs réguliers, il est presque impossible de dire que le site est frauduleux (ou du moins non authentique) sans rechercher très attentivement l'URL du site ou son certificat SSL."
Si le champ de votre navigateur affiche les mots «apple.com» et affiche à la place le message d'erreur au lieu du site Web d'origine, il est certain que votre navigateur Web est vulnérable à l'attaque homographe espiègle.
Dans un autre site Web exemple de site Web de recherche, Wordfence a réussi à se moquer du nom de domaine "epic.com»Grâce à l'utilisation d'un système complexe de nomenclature lors de l'achat du domaine.
L'attaque est assez ancienne en soi
Les premiers récits d'attaques d'homographes remontent à 2001. Cependant, la plupart des navigateurs ont eu du mal à résoudre l'attaque par eux-mêmes. C'est une attaque totalement parodie où les chercheurs / hackers remplacent les mots de l'alphabet anglais par des caractères Unicode.
Indépendamment de la façon dont vous faites attention à de telles attaques, il est presque impossible de détecter la faille.
Les domaines sont achetés en utilisant des caractères Unicode
Il existe de nombreux caractères Unicode qui représentent des lettres de différentes langues, notamment le cyrillique, le grec et l'arménien, dans des domaines internationalisés pour plus de commodité. D'un coup d'œil décontracté, ces lettres sont exactement identiques aux lettres latines. Cependant, ils sont traités différemment par certains navigateurs, affichant des noms totalement différents dans le champ du navigateur.
Attaques Punycode
De nombreux navigateurs Web modernes utilisent "Punycode. » Il s'agit d'un type d'encodage spécial par les navigateurs Web qui permet de convertir les caractères Unicode en jeux de caractères limités qui représentent l'ASCII. Il s'agit de l'ensemble accepté de variantes pris en charge par le mécanisme des noms de domaine internationaux ou IDN.
Zheng déclare que si quelqu'un choisit tous les caractères de la même langue étrangère lors de l'enregistrement du domaine, la faille des navigateurs le convertira en nom de domaine ciblé au lieu de rendre le format Punycode.
xn--80ak6aa92e.com est égal à Apple.com lorsqu'il est converti par les navigateurs
En utilisant la même faille dans les navigateurs, Zheng a enregistré un domaine en tant que xn--80ak6aa92e.com. Dans la plupart des navigateurs, il contourne rapidement la protection et apparaît comme apple.com. Cela inclut Chrome, Firefox et Opera. Cependant, ce qui est assez intéressant, Internet Explorer, Apple Safari, Vivaldi, Microsoft Edge et Brave n'ont pas montré de vulnérabilité à ce type d'attaque.
Il est à noter que le xn-- préfixe fait référence Codage de compatibilité ASCII préfixe. Cela indique aux navigateurs Web qu'il existe un encodage Punycode dans le domaine.
Au lieu de l'ASCII «a» qui est (U + 0041), Zheng utilise le cyrillique «a» (U + 0430). Dans ce cas, ce simple remplacement contourne la protection du navigateur.
Zheng a été en contact avec les navigateurs associés et en a informé Google et Mozilla au mois de janvier.
Ils essaient des correctifs
Pour le moment, Mozilla essaie différentes méthodes pour générer un correctif. Mais Google a déjà réussi à corriger cette vulnérabilité dans sa version expérimentale de Chrome Canary (59). Ils ont promis qu'un correctif permanent serait déployé avec la version Stable 58 de Google Chrome. Le Stable 58 devrait être lancé plus tard cette année.
En attendant, des millions d'utilisateurs utilisent (sans le savoir) Punycode dans leurs navigateurs. Il est fortement recommandé de désactiver le support Punycode dans leurs navigateurs pendant un certain temps pour pouvoir défendre cette attaque presque introuvable.
Prévenir les attaques de phishing
Pour utiliser manuellement l'atténuation temporaire, les utilisateurs de Firefox peuvent utiliser cette méthode simple:
- Frappé about: config dans le champ d'adresse du navigateur
- Rechercher avec Punycode
- Localisez le titre network.IDN_show_punycode et faites un clic droit; utilisation Basculer et changez le paramètre en Vrai de False. (Voir l'image ci-dessous)
À la consternation de plusieurs utilisateurs, il n'y a pas de paramètre disponible similaire qui fonctionnerait pour Chrome ou Opera et désactiverait le Punycode manuellement. Les utilisateurs de Chrome doivent être patients et attendre la version Stable 58 de chrome qui sortira dans quelques semaines.
Pour le moment, il existe des add-ons de navigateur qui peuvent être utilisés pour alerter les utilisateurs non-techniciens chaque fois qu'un nom de domaine contient des caractères Unicode.
Utilisez de bons gestionnaires de mots de passe
Un bon moyen de contourner ces attaques de phishing est d'utiliser un très bon gestionnaire de mots de passe. Ils stockeront toutes vos informations de connexion et identifieront automatiquement les URL réelles et authentiques auxquelles ils sont liés.
Ainsi, le premier signe d'avertissement serait que le gestionnaire de mots de passe ne vous invite pas à un mot de passe stocké dans le champ de connexion.
Correctif pour les utilisateurs de Chrome non techniques
Il existe un autre moyen simple de prendre une longueur d'avance pour quiconque a du mal à jouer avec les paramètres ou à installer des modules complémentaires. Voici les étapes:
- Copiez toujours l'URL et ne cliquez jamais sur (ouvrir l'onglet dans un nouveau navigateur)
- Collez l'URL dans la barre d'adresse et n'appuyez pas sur Entrée
- L'URL réelle apparaîtra dans son format Unicode
En outre, il est toujours plus sûr de commencer par copier les adresses manuellement plutôt que de simplement cliquer dessus.
Français 
English 
Español 
Deutsch 
Nederlands 
Română 
L'attaque de phishing est très obsolète de nos jours!
I cant thank you enough for sharing this insightful post! 😊
This was such a well-written and informative article – thank you!
Thanks for sharing such valuable information with us in your post.
Do you suspect your spouse of cheating, are you being overly paranoid or seeing signs of infidelity…Then he sure is cheating: I was in that exact same position when I met Henry through my best friend James who helped me hack into my boyfriend’s phone, it was like a miracle when he helped me clone my boyfriend’s phone and I got first-hand information from his phone. Now I get all his incoming and outgoing text messages, emails, call logs, web browsing history, photos and videos, instant messengers(facebook, whatsapp, bbm, IG etc) , GPS locations, phone taps to get live transmissions on all phone conversations. if you need help contact his gmail on , [email protected], and you can also text, call him, whatsappn on +1(201)4305865, or +1(773)6092741…
Hire a hacker to spy cell phone with a certified job may seem like a good idea, But is not easy as you mint think. Hacking into someone’s cell phone without them knowing is very difficult and require ethical service, mostly if you want to get into the user cellphone device to gain access to sensitive information and change settings, Then get a professional hacker will help you out contact [email protected]. if you looking a way to know how to spy on a cell phone without touch the target devices., he able to get it done. Thanks kelvin.
mec j'ai besoin de ton aide
Have you ever wondered if your spouse is cheating on you? As my spouse has always been a big time cheat, we have been married for 15 years now and i always suspect him but i wasn’t sure yet so i came in contact with this hacker Fred who i emailed to hack into his phone and he brought me results in 6hours time and i had access to my husband phone i always seeing his text messages, call logs, whats-app, emails, Facebook, deleted text messages and many more without touching my husband phone or him knowing about the hack then i got to see that he has a child outside without telling me i was in pains but thank God for this great hacker for his wonderful help…i must recommend this hacker as a very best professional you can contact him via gmail :fredv[email protected] and you can text,call him on +15177981808
MY wife is a very smart woman but i showed her that in every thing a man is always a man well i suspected she was hiding a lot from me, she has a mac-book pro she uses and also a Samsung phone i noticed she was cheating on me so i had to hack her phone but i found out that nothing was on her phone so i also hacked into her mac-book. i could not believe all that i saw on her laptop she has all her major text messages on her mac-book, she uses whats-app on her laptop also i found out that she was in a relationship with my friend who i call my brother i had full access to her mac-book and also read all there messages and so many they always hang out at a hotel on Sundays.. All I saw was too much for me to keep to myself. and also a very big thank you to the hacker that made it possible to be an ethical hacker. contact him on [email protected] and you can text,call him on +15177981808
The truly scary thing about undiscovered lies is that they have a greater capacity to diminish us than exposed ones. When people cheat in any arena, they diminish themselves-they threaten their own self-esteem and their relationships with others by undermining the trust they have in their ability to succeed and in their ability to be true. Cheating is the most disrespectful thing one human being can do to another. If you aren’t happy in a relationship, end it before starting another one. respect a person who is loyal in a relationship, by cheating on him or her. If you succeed in cheating on someone, don’t think that the person is a fool, realize that the person trusted you much more than you deserve. If you notice any suspicious act on your partner if he or she is cheating. You need to write MR FRED to help you remotely spoof on the target phone to retrieve text messages, call logs, social media activities, bank information and many more. They deliver the best services and get you the peace of mind you deserve. Email: fredva[email protected] and you can text,call him on +15177981808 Best wishes…
I’m excited to write about [email protected] he is a great and brilliant hacker who penetrated my spouse’s phone without a physical installation app. And I was able to access my spouse’s phone, SMS, Whatsapp, Instagram, Facebook, Wechat, Snapchat, Call Logs, Kik, Twitter and all social media. The most amazing thing there is that he restores all phone deleted text messages. And I also have access to everything including the phone gallery without touching the phone.I can see the whole secret of my spouse. Contact him for any hacking service. He is also a genius in repairing Credit Score, increasing school grade, Clear Criminal Record etc. His service is fast. Contact on: gmail and you can text or whatsapp him on +1 (602) 562‑6646