Attaques d'hameçonnage avancées Homoglyph

Options de téléchargement

  • PDF     (265.8 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (80.6 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (65.7 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:11 septembre 2015
ID du document:200146

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit l'utilisation de caractères homoglyphes dans les attaques d'hameçonnage avancées et comment en tenir compte lors de l'utilisation de filtres de messages et de contenu sur l'appliance de sécurité de la messagerie Cisco (ESA).

Attaques d'hameçonnage avancées Homoglyph

Dans les attaques avancées par phishing actuelles, les e-mails de phishing peuvent contenir des caractères homogyphes.  Un homoglyphe est un caractère de texte dont les formes sont presque identiques ou similaires.  Il peut y avoir des URL incorporées dans des e-mails de phishing qui ne seront pas bloquées par des filtres de messages ou de contenu configurés sur l'ESA.

Un exemple de scénario peut être le suivant : Le client veut bloquer un e-mail qui contient l'URL de www.pɑypal.com.  Pour ce faire, un filtre de contenu entrant est écrit pour rechercher l'URL contenant www.paypal.com.  L'action de ce filtre de contenu serait configurée pour supprimer et notifier.

Le client a reçu un exemple de message électronique contenant : www.pɑypal.com   

Le filtre de contenu tel que configuré contient : www.paypal.com

Si vous examinez l'URL réelle via DNS, vous remarquerez qu'elle se résout différemment :

$ dig www.pɑypal.com

; <<>> DiG 9.8.3-P1 <<>> www.pɑypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 37851
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;www.p\201\145ypal.com. IN A

;; AUTHORITY SECTION:
com. 900 IN SOA a.gtld-servers.net. nstld.verisign-grs.com. 1440725118 1800 900 604800 86400

;; Query time: 35 msec
;; SERVER: 64.102.6.247#53(64.102.6.247)
;; WHEN: Thu Aug 27 21:26:00 2015
;; MSG SIZE rcvd: 106
$ dig www.paypal.com

; <<>> DiG 9.8.3-P1 <<>> www.paypal.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51860
;; flags: qr rd ra; QUERY: 1, ANSWER: 6, AUTHORITY: 8, ADDITIONAL: 8

;; QUESTION SECTION:
;www.paypal.com. IN A

;; ANSWER SECTION:
www.paypal.com. 279 IN CNAME www.paypal.com.akadns.net.
www.paypal.com.akadns.net. 9 IN CNAME ppdirect.paypal.com.akadns.net.
ppdirect.paypal.com.akadns.net. 279 IN CNAME wlb.paypal.com.akadns.net.
wlb.paypal.com.akadns.net. 9 IN CNAME www.paypal.com.edgekey.net.
www.paypal.com.edgekey.net. 330 IN CNAME e6166.a.akamaiedge.net.
e6166.a.akamaiedge.net. 20 IN A 184.50.215.128

;; AUTHORITY SECTION:
a.akamaiedge.net. 878 IN NS n5a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n7a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n2a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n0a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n1a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n4a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n6a.akamaiedge.net.
a.akamaiedge.net. 878 IN NS n3a.akamaiedge.net.

;; ADDITIONAL SECTION:
n0a.akamaiedge.net. 383 IN A 184.27.45.145
n1a.akamaiedge.net. 3142 IN A 184.51.101.8
n2a.akamaiedge.net. 6697 IN A 88.221.81.194
n3a.akamaiedge.net. 31 IN A 88.221.81.193
n4a.akamaiedge.net. 168 IN A 72.37.164.223
n5a.akamaiedge.net. 968 IN A 184.51.101.70
n6a.akamaiedge.net. 1851 IN A 23.220.148.171
n7a.akamaiedge.net. 3323 IN A 184.51.101.73

;; Query time: 124 msec
;; SERVER: 64.102.6.247#53(64.102.6.247)
;; WHEN: Thu Aug 27 21:33:50 2015
;; MSG SIZE rcvd: 470

La première URL utilise un homoglyphe de la lettre « a » du format unicode.

Si vous regardez attentivement, vous pouvez voir que le premier «a» dans paypal est en fait différent du deuxième «a».

Soyez attentif lorsque vous utilisez des filtres de messages et de contenu pour bloquer des URL.  L'ESA ne peut pas faire la différence entre les homoglyphes et les caractères alphabétiques standard.  Une façon de détecter et d'empêcher correctement l'utilisation d'attaques d'hameçonnage homoglyphique est de configurer et d'activer le filtrage OF et URL. 

Irongeek fournit une méthode pour tester les homoglyphes et créer des URL de test malveillants : Générateur d'attaque d'homoglyphes

Présentation détaillée des attaques de phishing homoglyphes, également par Irongeek : Out of Character : Use of Punycode and Homoglyph Attacks to Obfuscate URLs for Phishing

Historique de révision

Révision Date de publication Commentaires
1.0
11-Sep-2015
Première publication
TAC Authored

Contribution d’experts de Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits