web-dev-qa-db-fra.com

Utilisation du format subname.example.com pour le phishing

J'ai remarqué des courriels de phishing copiant le format utilisé par Google ou Gmail dans leurs URL pour la connexion au compte ou OAuth connexions:

https://accounts.google.com/

J'ai vu des URL comme

http://accounts.fishyname.google.asdf.com

mais je ne me souviens pas de la présentation exacte de la fausse URL, mais elle était semblable à celle-là.

Q: Existe-t-il une règle générale à suivre pour être sûr qu'il s'agit bien du site réel, par exemple Google?

Je sais qu'il devrait avoir le symbole sécurisé (verrouillé), mais qu'en est-il de la disposition de la partie URL?

2
Drenai
http://accounts.fishyname.google.asdf.com

Vous devez avoir quelques connaissances sur la structure des URL/domaines afin de déterminer si c'est la vraie affaire ou pas simplement en la regardant. Dans ce cas, le domaine est clairement asdf.com - ce qui n'est évidemment pas Google.

Comme vous l'avez mentionné dans les commentaires, la "hiérarchie" va de droite à gauche. .com est le domaine de premier niveau sous lequel tout le monde peut enregistrer un nom de domaine. Une fois que quelqu'un a enregistré un domaine, il peut créer un nombre quelconque de sous-domaines (d'apparence suspecte) pour ce domaine qu'il aime (comme dans votre exemple). Votre exemple montre 3 sous-domaines supplémentaires: accounts.fishyname.google.

Si vous recherchez asdf.com dans un base de données WhoIs , il indiquera le propriétaire enregistré de ce domaine (bien que cela puisse être protégé par un service d'enregistrement privé).

Vous devez également faire attention aux domaines qui pourraient paraître très similaires à la réalité - en raison de l'utilisation du lettrage Unicode. Voir attaque par homographe IDN (Wikipedia). Par exemple, il y a eu un cas récent où un spammeur russe a enregistré ɢoogle.com (c'est une petite capitalisation G, pas g au début) pour essayer de duper les imprudents. Référence: https://www.bleepingcomputer.com/news/security/russian-spammer-uses-fake-google-domain-to-tell-webmasters-to-vote-trump/

Je sais qu'il devrait avoir le symbole sécurisé (cadenas)

Le simple fait de verrouiller le symbole (HTTPS) ne vous dit rien sur qui vous vous connectez. Vous vous connectez peut-être simplement à un site Web malveillant ... en toute sécurité!

Ce n'est que si le certificat SSL est un certificat de validation étendue (la barre verte dans la barre d'adresse) et que vous prenez le temps de vérifier le nom. bien sûr à qui vous vous connectez.

2
MrWhite