Des chercheurs en sécurité ont récemment découvert une campagne de phishing sophistiquée ciblant les clients de l'agence de voyages en ligne Booking.com. Cette attaque est particulièrement remarquable par son exploitation astucieuse du caractère hiragana japonais « ん » pour créer des URL imitant des URL légitimes. Cette stratégie illustre parfaitement la manière dont les cybercriminels utilisent les caractères Unicode de manière créative pour masquer des adresses web malveillantes et inciter les utilisateurs à visiter des sites web frauduleux.
L'essence de cette attaque de phishing réside dans la manipulation de la similarité visuelle entre le caractère japonais « ん » et la barre oblique (« / »). Dans certaines polices et systèmes, ces caractères peuvent sembler quasiment identiques, ce qui crée un risque de confusion dans l'affichage des URL. Par conséquent, lorsque les utilisateurs rencontrent des URL contenant ce caractère, ils peuvent les percevoir comme des chemins d'accès légitimes à des sous-répertoires du domaine d'origine. Cette conception trompeuse amplifie considérablement le risque de tromperie.
La tentative d'hameçonnage consiste à créer des URL qui semblent être des pages Booking.com authentiques. Par exemple, une URL telle que « https://account.booking.com/detail/restrict-access.www-account-booking.com/en/ » peut sembler authentique à première vue. Cependant, un examen plus approfondi révèle que les barres obliques supposées sont remplacées par le hiragana « ん ». Lorsqu'elle est traitée par les navigateurs web, cette adresse subtilement modifiée redirige les utilisateurs vers un domaine totalement différent, tel que www-account-booking.com, plutôt que vers une page Booking.com légitime.
Les conséquences de cette tactique sont alarmantes, d'autant plus qu'elles remettent en cause les formations traditionnelles en sécurité. Les formations de sensibilisation à la sécurité insistent généralement sur l'importance de vérifier la légitimité des URL. Malheureusement, ce type de tromperie visuelle contourne ces défenses, car les adresses usurpées semblent authentiques après un examen préliminaire.
L'analyse des plateformes de renseignement sur les menaces indique que le phishing commence par des e-mails contenant des liens vers ces URL usurpées. Les utilisateurs peu méfiants qui cliquent sur ces liens sont ensuite redirigés vers des sites hébergeant des fichiers d'installation MSI, vecteurs de diffusion de logiciels malveillants. Ces logiciels malveillants contiennent souvent des outils conçus pour voler des informations ou accorder un accès distant non autorisé, illustrant ainsi les multiples risques que représentent les clics de ces utilisateurs piégés.
Cette exploitation des caractères japonais marque une évolution des attaques par homographe, où des caractères de différents ensembles Unicode sont utilisés pour imiter des éléments d'URL ou d'adresses e-mail. Historiquement, des techniques similaires utilisant des caractères cyrilliques au lieu de lettres latines ont été observées. Cependant, l'utilisation du caractère japonais « ん » introduit un niveau de complexité plus élevé dans ces attaques.
Malgré l'efficacité trompeuse de l'utilisation d'un caractère japonais, les navigateurs modernes comme Chrome ont développé des défenses contre les attaques par homographe. Néanmoins, comme le démontre cette attaque, la simple inspection visuelle des URL n'est pas infaillible. Les chercheurs en sécurité préconisent une approche de défense plus globale. Celle-ci devrait inclure des logiciels de sécurité à jour, des filtres de messagerie robustes et une formation dynamique des utilisateurs tenant compte des menaces émergentes.
Cette campagne de phishing met en lumière l'innovation constante des cybercriminels, qui adaptent leurs méthodes pour exploiter les ambiguïtés visuelles mineures des interactions numériques. Comme le montre la preuve, la vigilance et la mise à jour des contre-mesures sont essentielles pour garantir la sécurité dans l'espace numérique. Les utilisateurs sont encouragés à prendre des précautions, comme survoler un lien pour en vérifier la véritable destination avant de cliquer, bien que cette méthode présente des limites. L'adaptation continue des stratégies de cybersécurité est essentielle pour anticiper l'évolution des tactiques employées par les acteurs malveillants qui cherchent à exploiter les utilisateurs peu méfiants.
