On le sait, les cybercriminels rivalisent d’imagination pour nous piéger afin de mener à bien leurs cyberattaques. La manipulation des liens ou obfuscation d’urls fait partie des techniques les plus utilisées dans le cadre d’attaques par phishing ou hameçonnage. Voici une technique d’obfuscation particulièrement sournoise qui peut tous nous faire douter et qui est toujours largement utilisée.
TypoSquatting
Bien sûr on connaît la technique du « typosquatting » consistant à enregistrer un nom de domaine proche d’un autre nom de domaine en qui nous avons confiance. Par exemple, si je veux piéger une personne en utilisant le nom de domaine cyberprest.fr je vais enregistrer des noms de domaine qui s’en rapprochent. Par exemple, cyber-prest.com ou encore cybreprest.com et il est alors facile de se faire piéger si la page de destination est la copie conforme de l’original.
Obfuscation par @
Mais on connaît moins l’obfuscation d’url par l’utilisation du signe @ dans l’adresse du lien. En effet, dans la RFC1738, il est prévu de pouvoir ajouter un nom d’utilisateur, voire un mot de passe dans une adresse en utilisant @. Cette utilisation peut alors être détournée pour masquer la destination réelle d’un lien afin de nous tromper. Par exemple, à votre avis, le lien ci-dessous mène-t-il vers Google ou CyberPrest ?
https://www.google.com@www.cyberprest.com
Et bien la destination de ce lien se situe après @, car ce qu’il y a avant est considéré comme un nom d’utilisateur que l’on souhaite utiliser sur cyberprest.com. Donc la destination est bien cyberprest.com
Nous pouvons pousser la supercherie un peu plus loin en utilisant un raccourcisseur d’url. Par exemple, le lien ci-dessous mène toujours vers cyberprest.com mais la destination a été masquée par un raccourcisseur d’url, ce qui complexifie la détection de la destination réelle.
https://www.google.com@da.gd/account
Mais on peut aller encore plus loin dans l’obfuscation en transformant une adresse IP en un nombre. Je m’explique : Toute adresse IP V4, d’habitude notée sous la forme de 4 nombres séparés par des points (172.217.16.228 par exemple pour www.google.com) peut aussi s’écrire sous la forme d’un seul nombre. L’adresse précédente passée dans un convertisseur devient l’adresse IP 2899906788 (vous trouverez facilement des convertisseurs sur internet pour tester). Donc le lien ci-dessous nous amène bien sur Google.com
Vous voyez certainement où je veux en venir. Si on combine l’écriture d’une adresse IP en un seul nombre avec l’obfuscation par @, on obtient quelque chose de particulièrement sournois.
Pour l’illustrer, voici un exemple de lien qui a déjà été cité par Ankit Anubhav dans un post sur X (anciennement Twitter). Il s’agit d’un joli … Rick Roll :
http://www.google.com@269535724
On ne le répétera jamais assez, il faut être très vigilant et ne pas cliquer sur les liens douteux reçus via messagerie ou autre moyen. Le phishing ou hameçonnage représentant le vecteur initial majeur d’une cyberattaque.
Si vous avez bien suivi vos séances de sensibilisation à la cybersécurité (avec CyberPrest, bien sûr 😉 ) , vous avez certainement acquis le réflexe de survoler un lien avant de cliquer. C’est une bonne chose car sachez que les navigateurs afficheront le contenu de l’adresse situé après @ et convertiront d’eux-mêmes les adresse IP en notation habituelle. Mais ce n’est pas malheureusement pas le cas de la plupart des clients de messagerie.
En tout cas, vous l’aurez compris un @ dans un lien : Je fuis.