Imaginez ceci : vous parcourez votre boîte de réception lorsque vous voyez une offre incroyable pour un nouvel appareil. Vous êtes tellement excité que vous cliquez immédiatement sur un lien vers un coupon car il contient le nom d’un fabricant populaire, mais l’offre n’est plus disponible. Puis le lendemain, votre appareil est non fonctionnel et infecté par des logiciels malveillants. L’usurpation d’URL est une tactique utilisée par les pirates pour vous faire croire que les liens illégitimes sont sûrs en incluant des actifs reconnaissables et en masquant les éléments suspects. Nous vous expliquerons tout ce que vous devez savoir pour éviter ce piège commun tendu par les escrocs.
Pourquoi l’usurpation d’URL est-elle considérée comme de l’ingénierie sociale ?
Ingénierie sociale pousse le piratage un peu plus loin car il oblige l’escroc à anticiper. C’est aussi beaucoup plus difficile à repérer, de par sa conception. Envoyer un lien infecté ou créer sans vergogne un faux site sont des méthodes efficaces pour les pirates, mais non sans manipuler la confiance d’une personne pour la faire tomber dans le piège.. L’objectif est d’empêcher la victime de réfléchir à deux fois avant de cliquer sur un lien ou de saisir des informations sensibles. Cela peut se faire de différentes manières, où les escrocs se feront passer pour des techniciens ou même amoureux afin d’entrer dans les bonnes grâces d’une victime et de se faufiler sur elle. L’usurpation d’URL n’est pas différente.
Bien que l’escroc ne vous accorde pas exactement une attention individuelle comme il le ferait lors d’un appel téléphonique frauduleux, l’usurpation d’URL est toujours une méthode pour inciter la victime à faire quelque chose qu’elle n’avait pas l’intention de faire. Les pirates savent que les gens prêtent beaucoup moins d’attention au contenu d’un lien qu’au contenu d’une page Web. Cela signifie que beaucoup cliqueront instantanément dessus pour obtenir plus d’informations au lieu d’enquêter sur le lien lui-même pour plus d’informations, surtout s’il contient initialement quelque chose qu’ils attendraient d’un lien normal.
Insérer un lien malveillant déguisé dans un e-mail décrivant des offres intéressantes (bien que fausses) pour des voyages et des articles coûteux est une recette d’ingénierie sociale qui ne prend que quelques secondes à mettre en œuvre. Les e-mails de phishing ne sont plus efficaces que s’ils contiennent un lien qui semble sûr, plutôt que d’en inclure un long ou manifestement faux. D’autres types de tactiques d’ingénierie sociale peuvent prendre des heures ou des semaines pour porter leurs fruits, c’est pourquoi l’usurpation d’URL est si dangereuse.
L’usurpation d’URL est plus populaire que vous ne le pensez
Dans le passé, il n’y avait pas autant de flexibilité en matière de liens. En 1995, les prix des domaines enregistrés (adresse Web complète) étaient fixés à 100 $ pour seulement deux ans. Cela vaut le double en dollars d’aujourd’hui. C’est simplement parce qu’il s’agissait d’un nouveau «bien» et que les fournisseurs avaient des idées mitigées quant à la finitude de leur stock. Maintenant, vous pouvez acheter un domaine pour aussi peu que 40 $ pendant deux ans, sans parler des remises fréquentes qui pourraient vous en offrir un à 90 %. Nous savons maintenant à quel point les URL peuvent être abondantes, longues et interchangeables à l’infini. Au point que dès 2002, TinyURL a été lancé afin de les raccourcir facilement. En 2004, on estime que plus de 8 000 URL ont été raccourcies tous les jours.
Cela ne fait que donner aux pirates plus de place pour affiner leurs liens malveillants à des fins néfastes. Il y a eu des milliers d’attaques d’usurpation d’URL à grande échelle où les pirates se déguisent en grandes entreprises afin de duper leurs victimes. En 2022, Facebook, Microsoft, Google et PayPal étaient les entreprises les plus usurpées. Au niveau mondial, les incidents signalés d’attaques de phishing ont connu une augmentation de 48 % par rapport à l’année précédente. Les 20 entreprises les plus usurpées comptaient plus de 215 000 URL de phishing uniques, qui sont largement utilisées sans discernement, ouvrant la voie à des attaques de taille jamais vues auparavant.
Où se trouvent généralement les URL falsifiées ?
Maintenant que vous savez à quoi sert une URL usurpée, où devriez-vous les rechercher dans votre vie quotidienne ?
Comme mentionné, la majorité des URL usurpées vivre dans les e-mails de phishing. En effet, les liens malveillants nécessitent du trafic sur le site Web pour fonctionner efficacement. Le courrier électronique permet aux escrocs d’envoyer ces liens en masse tout en employant d’autres tactiques pour les rendre plus discrets. L’économie de la cybercriminalité n’a fait que croître, marchandisant des listes de plus en plus grandes d’e-mails piratés qui peuvent être directement achetés à des fins de phishing.
De même, ces liens peuvent également exister via des SMS, car ils peuvent être envoyés à un grand nombre de personnes en même temps. Le seul hic est qu’il peut être plus difficile d’obtenir une liste de numéros de téléphone personnels (hors lignes fixes qui ne peuvent pas recevoir de SMS). C’est à moins que le pirate ne puisse exploiter un bogue dans le système d’une entreprise existante pour mettre la main sur son système SMS pour son propre gain personnel. C’est arrivé à Instacart en 2020, où un faille de sécurité non corrigée permettait aux pirates de modifier un lien de téléchargement d’application que les utilisateurs attendaient déjà lors de l’inscription, directement de l’entreprise elle-même.
Le dernier endroit où vous voulez rechercher des URL usurpées est les réseaux sociaux. Les pirates peuvent envoyer ces URL en se déguisant en représentants des relations publiques et en intérêts amoureux potentiels. Ils peuvent également être envoyés via des services tels que Xbox Live. L’approche par message direct n’est pas aussi efficace car le pirate devrait créer une page sociale apparemment légitime, ce qui peut être difficile et coûteux à faire. Ils peuvent également être facilement signalés et interdits.
Cependant, les liens usurpés peuvent apparaître comme du contenu sponsorisé sur des plateformes comme YouTube s’ils n’ont pas été préalablement signalés, ce qui est sans doute le moyen le plus efficace de duper les victimes via les réseaux sociaux. De plus, les escrocs peuvent parfois pirater des comptes existants, puis les utiliser pour convaincre des amis immédiats d’ouvrir des liens ou d’échanger de l’argent, ce qui est beaucoup plus convaincant qu’un compte aléatoire.
Tactiques courantes d’usurpation d’URL
À quoi ressemblent les URL usurpées ? Il existe des dizaines de façons de dissimuler un lien malveillant, mais il existe quelques tactiques que les pirates utilisent souvent par défaut. Nous allons vous montrer quelques exemples usurpés de https://www.ipvanish.com:
| TACTIQUE | URL falsifiée |
| Mal orthographier un lien peut être efficace car la victime peut ne pas remarquer l’erreur, et il est possible d’enregistrer un domaine similaire à un existant avec un seul changement de caractère. | http://www.1pvanish.com |
| Utiliser un raccourcisseur d’URL peut donner l’impression que n’importe quel lien peut être cliqué en toute sécurité, car il s’agit d’une tactique populaire utilisée par les entreprises grand public. Il est difficile de savoir si une URL raccourcie est sûre. | http://bit.do/8af9v4 |
| A l’inverse, certaines URL mal orthographiées peuvent également être allongées cacher des informations révélatrices qui pourraient être masqué automatiquement par votre fournisseur de messagerie pour économiser de l’espace sur votre écran. | http://www.ip-vanish.com————–h5J8e1k-d1sc0unt |
| Mettre un lien derrière un bouton ou des mots masque complètement le lien, ce qui peut le rendre plus légitime et rendre la victime plus susceptible de cliquer dessus. | Remise pour IPVanish ! OU  |
| Caractères spéciaux que l’on ne trouve généralement pas dans les URL peut être utilisé pour ouvrir davantage d’opportunités de donner l’impression que les URL non sécurisées sont légitimes. Faites attention aux caractères et aux accents non latins. | http://www.íꝑⱱąƞíšɦ.com/ |
Éviter les URL usurpées 101
Heureusement, il existe beaucoup plus de tactiques pour repérer un lien défectueux que de tactiques pour masquer le lien en premier lieu. La vérité est que des URL erronées peuvent se glisser presque n’importe où et compromettre votre appareil et vos informations personnelles. Il est important de n’ouvrir que des liens provenant de personnes ou d’entreprises en qui vous avez confiance. soyez prudent si vous pensez que ces sources fiables sont piratées. Pensez avant de cliquer.
Survolez toujours les liens avant de cliquer dessus. Passer la souris sur un lien, des mots liés ou un bouton pendant une seconde ou deux révélera le lien complet près de votre souris. Scannez attentivement ce lien pour vous assurer que rien n’est délibérément caché. De plus, n’ouvrez aucune pièce jointe provenant de sources inconnues, même si cela ressemble à un fichier texte normal.
Assurez-vous que le lien est HTTPS. Les pages HTTPS ont un certificat TLS (Transport Layer Security) et utilisent le cryptage pour sécuriser les transferts de données entre vous et le site Web. Les sites Web HTTP ne le font pas, ce qui les rend dangereux à accéder. N’utilisez jamais un site Web HTTP, et si vous vous trouvez sur un site Web, ne perdez pas une seconde à cliquer dessus. Il est également fréquemment indiqué par un cadenas dans votre barre d’adresse.
Demandez-vous si l’affaire est faisable. Malheureusement, les grands fabricants ne cèdent pas souvent leur stock à des prix de liquidation, et s’ils le font, ils en informent rarement leurs clients. Si vous voyez une offre vraiment incroyable, vérifiez-la en vous rendant sur le site Web réel dans un autre onglet. Ne cliquez pas n’importe quel liens sur un e-mail de phishing – même “désabonnement”.
Restez informé des dernières nouvelles. Certaines attaques sont suffisamment importantes pour être rapportées par les médias grand public. Si vous soupçonnez que quelque chose ne va pas avec une entreprise, consultez quelques sources d’information fiables ainsi que les profils de médias sociaux de l’entreprise (vous voudrez les recouper pour vous assurer qu’ils ne sont pas compromis) au cas où vous auriez de nouvelles informations. devrait savoir.
Mettez régulièrement à jour votre navigateur. Les sites Web ne sont pas seuls responsables de garder votre sécurité à l’esprit. Les navigateurs modernes font souvent le plus gros du travail en vous donnant la possibilité de revenir sur des sites suspects avant d’y entrer. Les nouvelles mises à jour apportent de nouvelles fonctionnalités de sécurité dont vous devriez profiter.
Marquez vos sites Web les plus fréquemment utilisés. Les signets sont utiles car ils garantissent que vous revisiterez le même site Web à chaque fois. Tous les sites Web bancaires, éducatifs ou liés au travail doivent être mis en signet pour une utilisation ultérieure, alors essayez de ne pas utiliser de liens dans les e-mails ou les textes pour rediriger vers ces sites, sauf en cas d’absolue nécessité.
Si vous avez cliqué sur une URL erronée ou saisi des informations sur un faux site Web, contactez votre institution bancaire et/ou modifiez vos mots de passe et exécutez un antivirus sur votre appareil immédiatement avant que tout autre dommage ne soit causé. Signalez les liens malveillants ou les tentatives de phishing à votre fournisseur de messagerie ou aux réseaux sociaux pour aider à atténuer ces attaques contre les autres et à réduire le spam dans votre vie en ligne en général. Et surtout, si vous cliquez sur un lien auquel vous pensez pouvoir faire confiance et qui vous amène vers une destination inattendue, sortez de là !