Le phishing existe depuis longtemps, et les chiffres les plus récents de l’index montrent que les attaquants l’utilisent avec enthousiasme.
- Infoblox DNS Threat Index, Q2 Quarterly Report 2015
- Une brève histoire des domaines génériques de premier niveau
- TLD de code pays
- Le saviez-vous ? Quarante-quatre pays ont choisi d’autoriser l’utilisation de leurs ccTLD à des fins commerciales. Par exemple, le .co, le ccTLD de la Colombie, peut être utilisé à la place du .com. Il est très populaire, en raison de l’essor du domaine .com, et permet aux entreprises de disposer de moyens alternatifs pour former des noms de sites web. Avez-vous vu l’URL http://o.co ? C’est Overstock.com qui vous fournit un moyen alternatif d’accéder à l’entreprise via votre navigateur. Vous avez peut-être vu youtu.be. C’est une URL légitime, enregistrée par Google en utilisant le ccTLD belge, .be. Une grande partie de l’industrie du divertissement utilise le ccTLD de Tavalu, .TV. C’est un excellent moyen pour la nation insulaire de gagner de l’argent. Lorsque vous essayez de déterminer si un site est légitime, sachez que de nombreux ccTLD sont également utilisés à des fins commerciales. Ce qui semble être un site suspect pourrait être, en fait, légitime. Cependant, les ccTLD peuvent également être utilisés pour former des noms de sites de phishing, alors en cas de doute, ne cliquez pas !
- Comment les liens/URL sont formés
- Exemples de liens/URL
- Le saviez-vous ? Vous visitez un site web et vous voyez « www1 » ou « www2 » (ou un autre chiffre) dans l’URL. Qu’est-ce que cela signifie ? Certains sites web peuvent être très populaires et, par conséquent, disposer de plusieurs serveurs travaillant dans une configuration d’équilibrage de charge pour servir le contenu lorsqu’il est demandé. Certaines entreprises choisissent de numéroter leurs serveurs. Ainsi, si vous voyez un www1 ou un www2 (ou un autre www#), vous voyez simplement quel serveur # parmi plusieurs serveurs fournit le contenu. En ce qui concerne le phishing, voir un www1, un www2, etc. n’est pas en soi un indicateur d’un site de phishing.
- Conclusion
Infoblox DNS Threat Index, Q2 Quarterly Report 2015
Les utilisateurs finaux du réseau, en tant que défenseurs de première ligne, sont un élément essentiel du programme de sécurité informatique d’une organisation. Au cours des dernières années, les sujets de sensibilisation et de formation des utilisateurs finaux du réseau ont inclus le phishing en raison à la fois de sa nature endémique et des méthodes de plus en plus sophistiquées que les phishers utilisent pour attirer les victimes. Lorsque nos consultants évaluent le risque au sein d’une organisation et discutent avec elle de ses efforts de sensibilisation et de formation au phishing, nous pouvons voir des conseils tels que « ne cliquez pas sur les liens suspects » et « passez le pointeur de la souris sur les liens d’un e-mail pour vérifier s’il est légitime ». Cependant, comment évaluer si un lien et le localisateur de ressources uniformes (URL) associé mènent à un site légitime ou non ?
Pour évaluer les liens et les URL, une personne doit comprendre les domaines de premier niveau génériques (gTLD), les TLD de code pays (ccTLD) et les autres types de domaines Internet. À cette fin, cet article fournit quelques informations de haut niveau sur la lecture et l’interprétation des liens/URL.
Une brève histoire des domaines génériques de premier niveau
Nous sommes tous habitués à voir des gTLD. Presque quotidiennement, nous utilisons des gTLD, y compris ceux qui nous sont les plus familiers, comme .com, .gov et .edu. Ils constituent un élément clé de la structure de l’internet. Ils sont également bien compris par les hameçonneurs, qui manipulent les URL à des fins frauduleuses. Pour évaluer au mieux les liens dans les courriels, ainsi que les URL dans les navigateurs, il est bon de savoir comment les différents domaines ont évolué et comment ils fonctionnent.
En 1984, la demande de commentaires (RFC) 920 a été utilisée pour définir les « domaines d’usage général » originaux – .com, .gov, .mil, .edu et .org. Un autre domaine, .net, a été ajouté début 1985 et est également considéré comme l’un des domaines « originaux ». En 1988, le domaine .int (international) a été ajouté pour répondre à la demande de l’Organisation du traité de l’Atlantique Nord. Au fil des ans, d’autres domaines ont été ajoutés, comme .biz et .info (2001). Au début de 2011, 22 gTLD avaient été créés. En juin 2011, l’Internet Corporation for Assigned Names and Numbers (ICANN) a voté la suppression de nombreuses restrictions sur les demandes et la mise en œuvre des gTLD, ouvrant ainsi la porte à l’utilisation de presque tous les gTLD. En vertu des nouvelles règles, en mai 2015, plus de 600 gTLD, dont de nouveaux gTLD tels que .auto, .computer, .network, .social, .pizza, .organic, avaient été enregistrés et autorisés à être utilisés sur Internet. Selon certains experts en sécurité, cette évolution des gTLD est considérée comme un cadeau pour les hameçonneurs, car elle leur permettra de créer une multitude de nouveaux sites de phishing. Pour une liste complète des gTLD étendus, voir la base de données de la zone racine de l’Internet Assigned Numbers Authority (IANA) (https://www.iana.org/domains/root/db).
TLD de code pays
Les TLD de code pays font également partie de nombreuses URL et, par conséquent, on peut s’attendre à les voir dans des liens à l’occasion. Les pays ont des ccTLD pour aider à distinguer dans quel pays un site est enregistré ou provient. Par exemple, le ccTLD des États-Unis, .us, est souvent utilisé par les États et les collectivités locales. D’autres exemples de ccTLD sont l’Australie, .au, le Japon, .jp, et le Royaume-Uni, .uk. Lorsque vous lisez un lien ou une URL, sachez que l’emplacement du ccTLD dans l’URL peut changer (à la fin d’une URL, comme http://www.gov.uk, ou plus tôt dans une URL, comme https ://uk.news.yahoo.com).
Comment les liens/URL sont formés
Alors, quelle est la clé pour lire les URL dans les liens ? La réponse de base est que, dans un lien, les éléments importants se trouvent entre la double barre oblique « // » et la première barre oblique simple, principalement dans la zone surlignée ci-dessous. Pour interpréter l’URL, allez jusqu’à la première barre oblique simple, puis remontez à partir de là. Après la première barre oblique, des éléments tels que des répertoires, des sous-répertoires, des noms de fichiers et des types de fichiers sont énumérés.
Note : Le cadre ci-dessus est la décomposition de base de l’URL. Au lieu de http:// ou https://, vous pouvez voir ftp://, gopher://, ou news://. Il s’agit de différents types de protocoles de transfert. En outre, bien que www figure dans de nombreuses URL, il ne s’agit pas d’un composant obligatoire. Vous pouvez voir des champs supplémentaires avant le gTLD et le nom de domaine/serveur secondaire. Après la première barre oblique, vous pouvez voir des champs indiquant des dates, ou d’autres informations utilisées pour identifier une ressource.
Exemples de liens/URL
Maintenant que nous sommes armés de quelques informations de base, examinons quelques exemples.
-
Nous sommes assez habitués à voir et à utiliser des sites commerciaux, tels que : http://www.amazon.com
C’est un site bien connu, et l’URL ne comporte pas de modifications suspectes.
Évaluation : LEGIT! -
Les URL peuvent être formées de presque n’importe quelle façon. Cela permet aux propriétaires de sites de construire facilement des noms de sites uniques. Il est également facile pour les hameçonneurs de faire de même, ce qui signifie qu’ils peuvent construire des noms de sites qui se rapprochent beaucoup des noms de sites légitimes. Par exemple, regardez ce qu’un simple point peut faire à un nom de site : http://www.ama.zon.com/gp/cart/view.html/ref=nav_cart
Si une personne cliquait sur le lien ci-dessus, au lieu d’aller sur amazon.com, elle serait dirigée vers le site zon.com, qui pourrait être un site enregistré par des hameçonneurs.
Évaluation : SUSPECT! -
Que diriez-vous de ce lien ? http://ThisL’adresse électronique est protégée contre les spambots. Vous devez activer JavaScript pour le visualiser./catalogue
Dans ce cas, une personne serait dirigée vers l’adresse IP 66.161.153.155, et non vers amazon.com. Si vous voyez un lien/URL avec un signe « @ », soyez particulièrement prudent. Les hameçonneurs utilisent couramment cette tactique de manipulation d’URL.
Évaluation : SUSPECT! -
Et si vous voyez cette URL dans un lien ? http://209.131.36.158/amazon.com/index.jsp
Cette URL a une fonction quelque peu similaire à celle de l’URL en #3 ci-dessus. Une personne serait dirigée vers l’adresse IP, et non vers amazon.com, qui est listé après le premier slash avant unique.
Évaluation : SUSPECT! -
Que faire si vous voyez une URL similaire à celle ci-dessous, ou, en regardant une page web se charger, vous voyez quelque chose de similaire à ceci dans la barre d’URL ? http://www.google.com/url?q=http://www.badsite.com
Cet exemple montre une URL qui renverrait une personne d’un site (dans ce cas, google.com) vers un autre site, badsite.com (notez la nomenclature « =http:// » qui permet cela). Les renvois ne sont pas mauvais en soi, mais un renvoi peut mener à un site de phishing. Dans ce cas, badsite.com n’a pas l’air d’être légitime.
Évaluation : SUSPECT!
Le saviez-vous ?
Vous visitez un site web et vous voyez « www1 » ou « www2 » (ou un autre chiffre) dans l’URL. Qu’est-ce que cela signifie ? Certains sites web peuvent être très populaires et, par conséquent, disposer de plusieurs serveurs travaillant dans une configuration d’équilibrage de charge pour servir le contenu lorsqu’il est demandé. Certaines entreprises choisissent de numéroter leurs serveurs. Ainsi, si vous voyez un www1 ou un www2 (ou un autre www#), vous voyez simplement quel serveur # parmi plusieurs serveurs fournit le contenu. En ce qui concerne le phishing, voir un www1, un www2, etc. n’est pas en soi un indicateur d’un site de phishing.
Vous visitez un site web et vous voyez « www1 » ou « www2 » (ou un autre chiffre) dans l’URL. Qu’est-ce que cela signifie ? Certains sites web peuvent être très populaires et, par conséquent, disposer de plusieurs serveurs travaillant dans une configuration d’équilibrage de charge pour servir le contenu lorsqu’il est demandé. Certaines entreprises choisissent de numéroter leurs serveurs. Ainsi, si vous voyez un www1 ou un www2 (ou un autre www#), vous voyez simplement quel serveur # parmi plusieurs serveurs fournit le contenu. En ce qui concerne le phishing, voir un www1, un www2, etc. n’est pas en soi un indicateur d’un site de phishing.
Pour aider les utilisateurs à déterminer rapidement les domaines de premier niveau et secondaires dans une URL, certaines entreprises et organisations ont commencé à utiliser la « mise en évidence du domaine ». Lorsqu’un utilisateur visite un site, une partie de l’URL s’estompe après quelques secondes, laissant les domaines de premier niveau et secondaires sombres. Par exemple :
Il est toujours bon de rechercher les signes d’un site légitime et sécurisé : cadenas fermé, https://, et nom de l’entreprise mis en évidence en vert dans l’URL (comme dans l’exemple PayPal ci-dessus). Si le certificat d’un site est expiré ou non valide, certains navigateurs, comme Internet Explorer et Firefox, ou services de sécurité, en avertissent les utilisateurs. Une personne peut se demander s’il est prudent de passer outre l’avertissement. Dans ce cas, utilisez d’autres indicateurs disponibles (revoyez l’URL) pour vous aider à déterminer si le site est légitime. En cas de doute, ne poursuivez pas.
Conclusion
L’hameçonnage continue d’être un problème mondial, exacerbé par les utilisateurs qui ne sont pas conscients des tactiques d’hameçonnage, des méthodes d’hameçonnage de plus en plus sophistiquées, et maintenant, un ensemble croissant de domaines de premier niveau génériques. Bien que les liens dans les e-mails ne soient pas la seule méthode utilisée par les hameçonneurs, elle est très courante. Pour réduire les risques posés par le phishing, il est nécessaire de savoir comment interpréter les liens et les URL associées.
Si vous souhaitez en savoir plus sur l’ingénierie sociale, la sensibilisation et la formation, et les services d’évaluation des risques, veuillez nous contacter dès aujourd’hui.
.