Peut-être vous a-t-on un jour conseillé de « chercher le cadenas » comme moyen de distinguer les sites de commerce électronique légitimes des pièges de phishing ou de logiciels malveillants. Malheureusement, ce conseil n’a jamais été aussi inutile. De nouvelles recherches indiquent que la moitié de toutes les escroqueries par hameçonnage sont désormais hébergées sur des sites Web dont l’adresse Internet comprend le cadenas et commence par « https:// ».
Un site de phishing Paypal en direct qui utilise https:// (avec le cadenas vert).
Données récentes de la société anti-hameçonnage PhishLabs montre que 49 % de tous les sites de phishing au troisième trimestre de 2018 portaient l’icône de sécurité du cadenas à côté du nom de domaine du site de phishing tel qu’affiché dans la barre d’adresse du navigateur. Cela représente une augmentation par rapport aux 25 % d’il y a un an et aux 35 % au deuxième trimestre de 2018.
Ce changement alarmant est notable car la majorité des internautes ont pris à cœur le conseil séculaire « cherchez le cadenas » et associent toujours l’icône du cadenas à des sites légitimes. Une enquête PhishLabs menée l’année dernière a révélé que plus de 80 % des personnes interrogées pensaient que le cadenas vert indiquait qu’un site Web était légitime et/ou sûr.
En réalité, la partie https:// de l’adresse (aussi appelée « Couche de sockets sécurisée » ou SSL) signifie simplement que les données transmises entre votre navigateur et le site sont cryptées et ne peuvent pas être lues par des tiers. La présence du cadenas ne signifie pas que le site est légitime, ni une preuve que le site a été sécurisé contre les intrusions de pirates..
Un hameçonnage Facebook en direct qui utilise SSL (a le cadenas vert).
La majeure partie de la bataille contre la cybercriminalité implique que les défenseurs répondent aux mouvements offensifs des attaquants. Mais l’adoption croissante de SSL par les hameçonneurs est un bon exemple dans lequel les fraudeurs s’inspirent des sites légitimes.
« PhishLabs pense que cela peut être attribué à la fois à l’utilisation continue des certificats SSL par les hameçonneurs qui enregistrent leurs propres noms de domaine et créent des certificats pour eux, ainsi qu’à une augmentation générale du SSL en raison du navigateur Google Chrome qui affiche désormais « Non sécurisé ». pour les sites Web qui n’utilisent pas SSL », a déclaré Jean LaCour, directeur technique de l’entreprise. « L’essentiel est que la présence ou l’absence de SSL ne vous dit rien sur la légitimité d’un site. »
Les principaux fabricants de navigateurs Web travaillent avec un certain nombre d’organisations de sécurité pour indexer et bloquer les nouveaux sites de phishing, proposant souvent des pages d’avertissement rouge vif qui signalent la page d’une escroquerie de phishing et cherchent à décourager les gens de visiter les sites. Mais toutes les escroqueries par hameçonnage ne sont pas signalées aussi rapidement.
J’ai passé quelques minutes à parcourir phishtank.com pour les sites de phishing qui utilisent SSL, et a trouvé cette page intelligemment conçue qui tente de hameçonner les informations d’identification des utilisateurs de Bibox, un échange de crypto-monnaie. Cliquez sur l’image ci-dessous et voyez si vous pouvez repérer ce qui se passe avec cette adresse Web :
Ce phishing en direct cible les utilisateurs de l’échange de crypto-monnaie Bibox. Regardez attentivement l’URL dans la barre d’adresse, et vous remarquerez une marque ondulée sur le « i » dans Bibox. Il s’agit d’un nom de domaine internationalisé, et la véritable adresse est https://www.xn--bbox-vw5a[.]com/connexion
Chargez la page de phishing en direct sur https://www.xn--bbox-vw5a[.]com/login (ce lien a été entravé exprès) dans Google Chrome et vous recevrez un avertissement rouge « Deceptive Site Ahead ». Chargez l’adresse ci-dessus – connue sous le nom de « punycode » – dans MozillaFirefox et la page rend très bien, du moins au moment d’écrire ces lignes.
Ce site de phishing profite de noms de domaine internationalisés (IDN) pour introduire une confusion visuelle. Dans ce cas, le « i » dans Bibox.com est rendu par le caractère vietnamien « ỉ », qui est extrêmement difficile à distinguer dans une barre d’adresse URL.
Comme BreachTrace l’a noté en mars, alors que Chrome, Safari et les versions récentes de Microsoft Internet Explorer et Bord les navigateurs rendent tous les IDN dans leur état de punycode maladroit, Firefox se fera un plaisir de convertir le code en domaine similaire tel qu’il est affiché dans la barre d’adresse.
Si vous êtes un Firefox (ou Tor) et souhaite que Firefox affiche toujours les IDN comme leur équivalent punycode lorsqu’ils sont affichés dans la barre d’adresse du navigateur, tapez « about: config » sans les guillemets dans une barre d’adresse Firefox.
Ensuite, dans la zone « recherche : », tapez « punycode » et vous devriez y voir une ou deux options. Celui que vous voulez s’appelle « network.IDN_show_punycode ». Par défaut, il est défini sur « false » ; un double-clic sur cette entrée devrait changer ce paramètre en « vrai ».