Masquer ses traces en substituant les caractères, fallait y penser !

Les malfrats de l’internet ne manquent décidément pas d’imagination : une nouvelle technique de phishing a été détectée, en mai dernier, par les chercheurs de Proofpoint. Si elle demeure classique dans son approche – inciter la victime à se rendre sur une page web trafiquée pour le conduire à saisir ses informations de compte et les voler – elle se montre novatrice pour ce qui est de rendre sa détection difficile. Classiquement, devant une page web suspicieuse, un utilisateur averti observe le code source de la page pour y trouver des url bizarres ou un code inconnu.

La campagne de phishing détectée par Proofpoint utilise une méthode basée sur l’utilisation de fichiers WOFF (Web Open Font Format), qui sont des fichiers de polices Web créés dans un format ouvert pour fournir des polices à une page Web. Les fichiers woff et woff2 concernés ici, codés en base64, installent un chiffrement par substitution. Les codes de substitution remplacent les lettres alphabétiques attendues montrées à la victime sur la page («abcdefghi…») par d’autres lettres dans le code source. Ainsi devient-il nettement plus difficile de détecter, par exemple, une url planquée, ou un appel douteux.

Ce n’est pas la seule astuce déployée ici. Dans la page web trompeuse, on trouve toujours des images pour, par exemple, le logo de la banque ou de la marque concernée. Ici les malfrats choisissent d’utiliser les images de la marque au format vectoriel évolutif, de sorte que le logo et sa source n’apparaissent pas dans le code source. Cela évite le processus de création de liens vers les logos réels et autres ressources visuelles, qui pourraient potentiellement être détectés par la marque imitée (si elles pointent vers un hébergement douteux par exemple).

Le kit d’hameçonnage a été remarqué par les chercheurs en mai 2018, et serait toujours actif sur certaines pages web. Comme toujours, pour éviter le phishing, ne cliquez pas sur les liens reçus par mail ou message, mais saisissez directement l’url où vous voulez vous rendre dans votre navigateur.

AUCUN COMMENTAIRE

À vous la parole !

Fermer
*
*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.