Une paroles japonaises est la clé de cet été Cybetophafa: parvient donc à supplanter la réservation si vous n'avez pas l'air bien

La typographie est un champ plein de curiosités. Mais vous n'aviez sûrement pas pensé qu'une de ces curiosités pourrait être la raison qui multiplierait les probabilités que la victime d'une arnaque de supplant de réservation.com, maintenant au milieu de la haute saison des réserves.

La culpabilité de tout est une «lettre» (un caractère syllabique, en fait) d'origine japonaise, ん (ou u + 3093, en terminologie Unicode), qui dans certaines situations peut être confondue avec une barre inclinée, de sorte que la direction semble une voie interne du domaine légitime.

Comment fonctionne l'astuce « ん ん »

Les e-mails et les messages frauduleux montrent, dans le texte visible, quelque chose qui semble être un panel de réservation officiel, par exemple: https://admin.booking.com/hotel/hoteladmin/…

Cependant, le véritable hyperlien conduit à une URL de piège avec « ん » stratégiquement inséré:

account.booking.com ん Détail ん restric-access.www-account-booking.com/en/

Dans les environnements où « ん » est perçu comme « / n » ou « / ~ », comme le cas peut l'être, la barre d'adresse triche et donne l'impression que les sous-dossiers de réservation.com sont navigués. En fait, le domaine enregistré – le seul qui compte pour savoir « qui est » le site – est celui qui apparaît plus à droite avant le premier « https://ww.genbeta.com/ »: www-account-booking(.)com. Tout sur votre gauche n'est qu'un sous-domaine décoratif qui imite la structure du site réel.

Après le clic initial, les victimes sont redirigées vers une nouvelle URL, à partir de laquelle le navigateur téléchargera un installateur MSI. Analyse dans MalwareBazaar et sur la plate-forme Any.Run décrivent que le MSI agit comme un chargeur qui tombe Charges utiles supplémentaire, fréquent dans les campagnes de Infosterat (Vol d'identification et de données) et / ou des chevaux de Troie à distance (rat).

Point clé: Regardez toujours la bonne extrémité du domaine avant la première barre « / ». Il s'agit du test de coton pour vérifier la propriété réelle du site.

Pourquoi « se faufiler » que « ん »? Homoglifos et homographes Attaques

L'escroquerie exploite les homoglifos: caractères de différents alphabets qui sont très similaires les uns aux autres pour l'œil humain (problème qui peut également aggraver certaines polices), mais qui sont différents au niveau du code. Ici, « ん » (du système syllabique Hiragana Japonais) peut être confondu avec «/ n» ou «/ ~» selon la source, créant des URL visuellement convaincantes.

Ce type d'astuces est la base des attaques homographiques, que l'écosystème des navigateurs essaie d'atténuer les politiques de visualisation IDN, mais que les criminels continuent de savoir comment surmonter l'imagination typographique.

D'un autre côté, il existe également d'autres « escroqueries typographiques » en circulation (qui est généralement appelée Typosquat)): Des campagnes qui remplacent des lettres pour former des domaines presque identiques aux vrais ont été vus. Un exemple: les e-mails qui semblent provenir d'Intuit, mais utilisent des domaines qui commencent par «lnttuit» – en minuscules, le «l» peut être confondu avec «i» selon la source. La disposition étroite suggère que les attaquants recherchent des clics rapides du mobile. Morale: la typographie est également une arme dans la cybercriminalité.

Que verrez-vous dans votre plateau?

  • POST -SYMILES ET Modèles. Correos qui semblent réserver des communications administratives (par exemple, « Vérifiez votre accès » ou « Restrictions de compte »). Dans le corps, les liens Ils semblent du type admin.booking.com/... Mais ils indiquent l'URL avec « ん ».
  • Conception concentrée sur le mobile. Certains appâts de campagnes similaires (par exemple, intuit) montrent des dispositions étroites qui vous invitent à appuyer sur le bouton sans inspecter le lien. C'est un rappel qu'en mobile, il est plus difficile de vérifier les domaines longs.

Comment détecter (meilleure) tromperie

  1. Arrêtez-vous sur le « côté droit » du domaine. Identifiez le domaine enregistré (qui est immédiatement avant le premier « / », et dont le noyau se situe entre le dernier et l'avant-dernier point).
  2. Méfiance des signes rares ou des répétitions inhabituelles. Si vous voyez d'étranges symboles dans la direction (p. par exemple, par exemple« ん ») ou de longues chaînes de sous-domaines, suspect.
  3. Passez la souris (ou titulaire) avant d'ouvrir. Vérifiez la destination réelle du lien; N'oubliez pas que le texte visible peut être différent de l'hyperlien sous-jacent.
  4. Évitez d'installer des « mises à jour » à partir des liens de messagerie. La campagne télécharge un fichier exécutable MSI; Donc, si vous ne vous attendiez pas à installer quoi que ce soit, annulez.
  5. Un bon antimalware et des filtres de réputation Web peuvent couper la chaîne (téléchargement et exécution). Les analystes ont observé des charges secondaires typiques de Voleurs et rat; La prévention des couches est cruciale.

Et si je clique déjà?

  1. Débranchez-vous du réseau (si vous avez téléchargé ou exécuté le MSI).
  2. Passez un scan complet avec votre solution de sécurité et / ou utilisez un EDR.
  3. Changer la réservation et les mots de passe par courrier, uniquement à partir d'une équipe propre.
  4. Vérifiez l'activité récente dans vos panneaux de réservation et dans la boîte de réception (filtres suspects et avant).
  5. Informez votre personne en charge de vous ou du fournisseur de cybersécurité.

Ces actions réduisent le risque de vol d'identification et d'accès latéral dans votre organisation.

Ils optent également pour les employés du secteur hôtelier

En vacances complètes, avec la hâte et les réservations de la dernière minute, le «crochet» d'un changement de disponibilité, de collecte en attente ou de mise à jour urgente est particulièrement efficace. Mais ce n'est pas la première fois que Booking.com apparaît dans des campagnes de phishing massives jusqu'à présent cette année: au début de l'année, ils ont été informés des offensives qui ont supplanté le service et ont eu recours à la technique Clickfix pour infecter les travailleurs d'hôtels.

Et qu'est-ce que c'est de Clickfix? Il se produit lorsque le site Web malveillant montre une vérification présumée de « Je ne suis pas un robot », puis il provoque une erreur simulée et guide l'utilisateur à exécuter des commandes de leur équipe « pour résoudre l'accès ». Ce schéma est ingénieux parce que l'initiative déplace la victime et évite certains contrôles automatiques.

Via | Bleepingcomputer

Eric

Eric

Je m'appelle Eric, rédacteur passionné pour le média Prodiris, spécialisé dans les actualités du monde du web. Ma curiosité insatiable et mon expertise me permettent de déchiffrer les tendances numériques pour les partager avec précision et enthousiasme auprès de nos lecteurs.

Contact

[email protected]

Newsletter

Rejoignez notre newsletter pour des astuces chaque semaine