Découverte d'attaques de phishing utilisant les homoglyphes

Verisign a corrigé une vulnérabilité qui permettait aux attaquants d’enregistrer un domaine malveillant en utilisant des homoglyphes à la place de caractères latins traditionnels.


Ce bulletin vous est partagé gratuitement par le CERT-XMCO dans le cadre de son service de Veille. Découvrez en détail ce service sur xmco.fr et testez-le gratuitement et sans engagement sur leportail.xmco.fr.

Cette vulnérabilité a été découverte par le chercheur de la société Soluble, Matt Hamilton, lorsqu’il a tenté d’utiliser des homoglyphes pour enregistrer un bucket S3 sur Amazon. Il a ensuite testé cette attaque pour enregistrer des noms de domaines au sein de différents registres Internet des noms de domaine (comme .com et .net.). Il a également essayé avec d’autres cloud provider comme DigitalOcean ou Wasabi.

La vulnérabilité repose principalement sur 3 homoglyphes:

  • Le “ɡ” (Voiced Velar Stop)
  • Le “ɑ” (Latin Alpha)
  • Le “ɩ” (Latin Iota)

Ce type d’attaque permet de réaliser des attaques de phishing sophistiquées.

Note: cette attaque serait exploitée par les attaquants depuis 2017, car de nombreux certificats SSL auraient été générés utilisant cette technique.

Domaines détectés

  • amɑzon.com
  • chɑse.com
  • sɑlesforce.com
  • ɡmɑil.com
  • ɑppɩe.com
  • ebɑy.com
  • ɡstatic.com
  • steɑmpowered.com
  • theɡuardian.com
  • theverɡe.com
  • washinɡtonpost.com
  • pɑypɑɩ.com
  • wɑlmɑrt.com
  • wɑsɑbisys.com
  • yɑhoo.com
  • cɩoudfɩare.com
  • deɩɩ.com
  • gmɑiɩ.com
  • gooɡleapis.com
  • huffinɡtonpost.com
  • instaɡram.com
  • microsoftonɩine.com
  • ɑmɑzonɑws.com
  • ɑndroid.com
  • netfɩix.com
  • nvidiɑ.com
  • ɡoogɩe.com

Référence

Emoji to Zero-Day: Latin Homoglyphs in Domains and Subdomains

Référence XMCO

CXN-2020-1190

CERT-XMCO

Découvrir d'autres articles