Vous êtes au travail et vous avez reçu un message qui vous demande de modifier le mot de passe de votre adresse e-mail, de confirmer les dates de vos vacances ou de faire de toute urgence un virement pour le PDG. Ces demandes inattendues peuvent être le début d’une attaque informatique qui cherche à s’en prendre à votre entreprise. C’est pourquoi vous devez vous assurer qu’il ne s’agit pas d’une arnaque. Mais comment vérifier les adresse e-mail ou les liens des sites ?
Le nom de domaine est généralement la pièce centrale d’un faux message ; il s’agit de la partie de l’e-mail qui se trouve après @ ou du début de l’URL. L’objectif est d’inspirer confiance à la victime. Il est vrai que les cybercriminels adoreraient pirater le domaine officiel de l’entreprise ciblée, ou d’un de ses fournisseurs ou de ses partenaires officiels, mais cette option est généralement impossible au début de l’attaque. Ainsi, avant de lancer une attaque ciblée, ils enregistrent un domaine qui ressemble à celui de l’entreprise où travaille la victime et espère que cette dernière ne verra pas la différence. Ces techniques sont connues comme les attaques d’usurpation. L’étape suivante consiste à héberger un faux site sur le domaine ou à envoyer des messages d’usurpation à partir de boîtes mail associées.
Dans cet article, nous analysons certaines des astuces utilisées par les cybercriminels pour vous empêcher de remarquer qu’il s’agit d’un domaine usurpé.
Les homoglyphes : des lettres différentes mais une même orthographe
Une astuce consiste à utiliser des lettres visuellement très ressemblantes voire indistinguables. Par exemple, la lettre « L » en minuscules (l) est identique à un « i » majuscule (I) dans de nombreuses polices de caractère, ce qui fait qu’un message envoyé depuis l’adresse JOHN@MlCROSOFT.COM pourrait même tromper les utilisateurs les plus attentifs. Évidemment, la véritable adresse de l’expéditeur est john@mLcrosoft.com !
Le nombre de doubles diaboliques a augmenté depuis qu’il est possible d’enregistrer les domaines dans plusieurs langues, y compris ceux qui n’utilisent pas l’alphabet latin. Une personne est incapable de faire la différence entre un « ο » grec, un « о » russe et un « o » latin, alors que ce sont trois lettres différentes pour un ordinateur. C’est ce qui permet d’enregistrer plusieurs domaines qui ressemblent tous à microsoft.com en utilisant diverses combinaisons de « o ». Ces techniques qui utilisent des lettres visuellement similaires sont connues comme les attaques homoglyphes ou homographes.
Le combosquatting : un petit plus
Au cours de ces dernières années, le combosquatting est devenu populaire auprès des cybercriminels. Pour imiter l’adresse e-mail ou le site de l’entreprise ciblée, ils créent un domaine qui associe le nom et un mot-clé pertinent, comme Microsoft-login.com ou SkypeSupport.com. L’objet de l’e-mail et la fin du nom de domaine doivent correspondre. Par exemple, un message à propos d’un accès non autorisé au compte de la messagerie électronique devrait ouvrir un site qui contient le domaine outlook-alert.
Cette situation s’aggrave du fait que certaines entreprises utilisent des mots-clés dans leurs domaines. Par exemple, login.microsoftonline.com est un site de Microsoft parfaitement légitime.
Selon Akamai, les mots-clés de combosquatting les plus populaires sont : support (assistance), com, login (connexion), help (aide), secure (sécurisé), www, account (compte), app (application), verify (vérification) et service. Deux d’entre eux, www et com, méritent une attention particulière. On les trouve souvent dans les noms des sites et un utilisateur inattentif pourrait ne pas remarquer le point manquant : wwwmicrosoft.com, microsoftcom.au.
L’usurpation de domaine de premier niveau
Les cybercriminels arrivent parfois à enregistrer un clone dans un domaine de premier niveau différent (TLD), comme microsoft.co au lieu de microsoft.com ou office.pro au lieu de office.com. Dans ce cas, le nom de l’entreprise usurpée peut être le même. Cette technique est connue comme le squatting de TLD.
Un remplacement de ce genre peut être très efficace. Il a récemment été signalé que, pendant des dizaines d’années, plusieurs sous-traitants et partenaires du département de la Défense des États-Unis envoyaient par erreur leurs messages au domaine .ML qui appartient au Mali au lieu du domaine .MIL de l’armée américaine. En 2023 seulement, un sous-traitant hollandais a intercepté plus de 117 000 e-mails envoyés à la mauvaise adresse et reçus par le Mali au lieu du département de la Défense.
Le typosquatting : des domaines mal écrits
La technique la plus simple (qui est aussi la première qui a vu le jour) pour produire des domaines clonés consiste à exploiter plusieurs fautes de frappe qui sont faciles à faire mais difficiles à détecter. Beaucoup de variations entrent en jeu : l’ajout ou la suppression de lettres en double (ofice.com au lieu de office.com), l’ajout ou la suppression de la ponctuation (cloud-flare ou c.loudflare au lieu de cloudflare), la substitution de lettres semblables phonétiquement (savebank au lieu de safebank), etc.
Les spammeurs et les fraudeurs publicitaires ont été les premiers à utiliser les fautes de frappe mais, de nos jours, cette technique est utilisée conjointement avec un faux site pour préparer le terrain pour des attaques d’hameçonnage ciblé (spear phishing) et de compromission de la messagerie d’entreprise (BEC).
Comment vous protéger contre les domaines clonés et les attaques d’usurpation
Les homoglyphes sont les plus difficiles à détecter et ne sont généralement pas utilisés à des fins légales. Par conséquent, les développeurs de navigateur et, en partie, les registraires de domaines essaient de se protéger contre ces attaques. Dans certaines zones de domaine, par exemple, il est interdit d’enregistrer des noms avec des lettres d’autres alphabets. Pourtant, beaucoup de domaines de premier niveau ne profitent pas d’une telle protection et vous devez vous fier des outils de sécurité. Il est vrai que de nombreux navigateurs affichent les noms de domaine d’une façon assez spéciale puisqu’ils mélangent les alphabets. C’est parce qu’ils représentent l’URL en punycode. Nous avons donc quelque chose qui ressemble à ça : xn--micrsoft-qbh.xn--cm-fmc (il s’agit du site de microsoft.com avec deux « o » de l’alphabet russe).
L’attention est la meilleure défense contre le typosquatting et le combosquatting. Pour la développer, nous conseillons à tous les employés de suivre une formation de base en cybersécurité pour apprendre à détecter les principales techniques d’hameçonnage.
Malheureusement, les cybercriminels disposent d’un vaste arsenal et ne se limitent pas qu’à lancer des attaques d’usurpation. Faire attention ne suffit pas lorsqu’il s’agit d’attaques minutieusement exécutées et personnalisées pour une entreprise spécifique. Par exemple, cette année, les cybercriminels ont créé un faux site qui a cloné la passerelle intranet des employés de Reddit et ont réussi à compromettre l’entreprise. Ainsi, les équipes de sécurité informatique doivent penser à la formation du personnel mais doivent aussi prendre en compte certains outils de protection essentiels :
- Une protection spéciale pour les serveurs de messagerie contre les spams et l’hameçonnage ciblé. Par exemple, Kaspersky Security for Mail Server détecte les e-mails malveillants en utilisant l’apprentissage automatique et les bases de données de spams mises à jour en temps réel. Le système peut aussi « faire exploser » les e-mails suspects dans un sandbox ou les mettre en quarantaine.
- L’installation d’une protection sur tous les appareils des employés, y compris les smartphones et les ordinateurs personnels utilisés dans le cadre du travail. Cette mesure améliore la sécurité de façon globale mais elle est essentielle pour intercepter les liens et les fichiers malveillants qui ne sont pas envoyés par e-mail mais via d’autres canaux, comme les réseaux sociaux.