Airfrance victime d’une attaque par homoglyphie de nom de domaine

Nous avions évoqué il y a quelques années la possibilité offerte aux hackers de procéder à une nouvelle forme d’attaque par ingénierie sociale : l’attaque par homoglyphie IDN.

Pour rappel, il s’agit d’une forme de phishing particulièrement ingénieuse. Cette attaque consiste à effectuer un enregistrement de noms de domaine avec des caractères issus d’alphabets non latin (ou latin étendu) similaires aux caractères ascii habituels. Certains caractères étant visuellement identiques, l’internaute, y compris averti, peut être facilement induit en erreur.

Cette forme d’attaque est restée théorique de nombreuses années et connue seulement des experts des noms de domaine comme SafeBrands. Toutefois, elle semble avoir été popularisée récemment dans le milieu dit du « hacking » et est largement utilisée depuis quelques semaines.

Aussi, depuis aujourd’hui, 13/02/2018 circule sur les réseaux sociaux une vaste escroquerie employant cette technique. De nombreux employés de SafeBrands ont d’ailleurs reçu de la part de leurs contacts ce type de message :

Bien évidemment il s’agit d’une supercherie. Le nom de domaine ici n’est pas airfrance.com mais airfrạnce.com . Le titulaire du nom de domaine a remplacé le deuxième A par une lettre équivalente de l’alphabet latin étendu : A avec « anneau souscrit » utilisé dans l’alphabet phonétique.

D’après le WHOIS du nom de domaine incriminé, celui-ci a été enregistré le 12/02 derrière un service proxy.

 

Domain Name: xn--airfrnce-rx0d.com
Registry Domain ID: 2226225207_DOMAIN_COM-VRSN
Registrar WHOIS server: whois.NameBright.com
Registrar URL: http://www.NameBright.com
Updated Date: 2018-02-12T00:00:00.000Z
Creation Date: 2018-02-12T09:50:36.000Z
Registrar Registration Expiration Date: 2019-02-12T00:00:00.000Z
Registrar: TurnCommerce, Inc. DBA NameBright.com
Registrar IANA ID: 1441
Registrar Abuse Contact Email: abuse@NameBright.com
Registrar Abuse Contact Phone: +1.720.496.0020
Domain Status: clientTransferProhibited
Registry Registrant ID:
Registrant Name: Private Registration
Registrant Organization:
Registrant Street: 2635 Walnut Street
Registrant City: Denver
Registrant State/Province: CO
Registrant Postal Code: 80205
Registrant Country: US
Registrant Phone: +1.7204960020
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: xn--airfrnce-rx0d.com@NameBrightPrivacy.com

 

Le nom de domaine conduit à un formulaire demandant les coordonnées puis l’inscription moyennant un paiement par carte bancaire. Il s’agit là probablement d’une fausse page de paiement qui vise à récolter les coordonnées bancaires des internautes crédules.

 

SafeBrands invite donc les internautes à être particulièrement attentifs à ce type de fraude. Notre outil gratuit de vérification de WHOIS http://whois.safebrands.com permet de s’assurer de la titularité d’un nom de domaine.

Il existe en outre une pléthore de convertisseurs IDN afin de vérifier qu’un nom de domaine n’est pas un homoglyphe, comme par exemple celui mis à disposition par le registre Verisign : https://www.verisign.com/en_US/channel-resources/domain-registry-products/idn/idn-conversion-tool/index.xhtml?loc=en_US . Les internautes peuvent effectuer cette vérification avant d’entrer leurs coordonnées bancaires.

 

 

Les marques quant à elles peuvent se prémunir de ce type d’attaque.

 

Si vous souhaitez connaitre les solutions entreprise SafeBrands, n’hésitez pas à contacter nos chargés de clientèle en utilisant notre formulaire en ligne, par email domaines@safebrands.com ou téléphone au +33 (0)1 80 82 82 60.

1 réponse

Trackbacks (rétroliens) & Pingbacks

  1. […] effet, les pratiques de phishing deviennent de plus en plus ingénieuses, comme le montre le cas de phishing par homoglyphie analysé il y a deux mois par nos […]

Les commentaires sont fermés.