Quiconque cherche une introduction sur la façon de repérer les liens de phishing intelligents n’a pas besoin de chercher plus loin que ceux ciblant les clients de Pommedont la marque, à bien des égards, reste parmi le plus ciblé. Les histoires passées ici ont examiné comment les escrocs travaillant avec des gangs organisés tentent d’hameçonner les informations d’identification iCloud des clients Apple qui ont un appareil mobile perdu ou volé. L’article d’aujourd’hui se penche sur les maillons bien conçus utilisés dans certains de ces leurres.
BreachTrace a entendu un lecteur en Afrique du Sud qui a récemment reçu un SMS indiquant que son iPhone X perdu avait été retrouvé. Le message s’adressait à lui par son nom et indiquait qu’il pouvait voir l’emplacement de son appareil capricieux en visitant le lien https://maps-icloud[.]com – qui n’est certainement pas un lien Apple ou iCloud légitime et est l’un des innombrables services « Find My » d’Apple pour localiser les appareils Apple perdus.
Tandis que cartes-icloud[.]com n’est pas un domaine de phishing particulièrement convaincant, un examen du serveur russe sur lequel ce domaine est hébergé révèle une multitude de liens beaucoup plus persuasifs usurpant la marque Apple. Presque tous incluent des certificats de chiffrement (commencez par « https://) et commencez par les sous-domaines « apple ». ou « icloud ». suivi d’un nom de domaine commençant par « com-« .
Voici quelques exemples (les liens de phishing dans cet article ont été entravés par des crochets pour les empêcher d’être cliquables) :
support apple.com[.]identifiant
apple.com-findlocation[.]identifiant
signe apple.com[.]dans
apple.com-isupport[.]dans
icloud.com-site-log[.]dans
Les lecteurs avertis ici le savent sans doute déjà, mais pour trouver le véritable domaine référencé dans un lien, regardez à droite de « http(s):// » jusqu’à ce que vous rencontriez la première barre oblique (/). Le domaine directement à gauche de cette première barre oblique est la véritable destination ; tout ce qui précède le deuxième point à gauche de cette première barre oblique est un sous-domaine et doit être ignoré pour déterminer le véritable nom de domaine.
Par exemple, dans le cas du lien imaginaire ci-dessous, example.com est la véritable destination, pas apple.com :
https://www.apple.com.example.com/findmyphone/
Bien sûr, n’importe quel domaine peut être utilisé comme redirection vers n’importe quel autre domaine. Exemple : les cibles des domaines de phishing ci-dessus qui ne savent pas si le lien renvoie à un site Apple légitime pourraient chercher à charger le domaine de base dans un navigateur Web (moins la personnalisation dans le reste du lien après la première barre oblique) . Pour apaiser ces inquiétudes, les hameçonneurs dans ce cas redirigeront toute personne visitant ces domaines de base vers la page de connexion iCloud légitime d’Apple (icloud.com).
Le meilleur conseil pour éviter les escroqueries par hameçonnage est d’éviter de cliquer sur des liens qui arrivent spontanément dans des e-mails, des SMS et d’autres supports. La plupart des escroqueries par hameçonnage invoquent un élément temporel qui avertit des conséquences désastreuses si vous ne répondez pas ou n’agissez pas rapidement. Si vous ne savez pas si le message est légitime, respirez profondément et visitez le site ou le service en question manuellement – idéalement, en utilisant un signet du navigateur afin d’éviter les sites potentiels de typosquattage.