Les cybercriminels exploitent désormais des caractères japonais ou cyrilliques pour tromper les utilisateurs, même les plus vigilants. Une campagne de phishing récente utilise le caractère « ん », qui peut ressembler à un slash (« / ») dans certains polices, afin de dissimuler des liens malveillants dans des emails semblant provenir de Booking.com. Cette méthode, basée sur les homoglyphes, rend les attaques plus difficiles à repérer et expose les victimes à des logiciels malveillants ou au vol de données.
L’article en bref :
- Des hackers utilisent le caractère japonais « ん » pour imiter un slash dans des liens frauduleux, rendant les URLs de phishing presque indiscernables des vraies.
- Les victimes sont redirigées vers de fausses pages Booking.com, où un fichier MSI installe des logiciels espions ou des trojans d’accès à distance.
- Cette technique s’ajoute à d’autres attaques par homoglyphes, comme l’utilisation du « С » cyrillique à la place du « C » latin, ou la confusion entre « l » et « i » dans des adresses email.
Les campagnes de phishing évoluent constamment pour contourner les mécanismes de détection et la méfiance des utilisateurs. La dernière en date, repérée par Bleeping Computer, cible les clients de Booking.com en exploitant un caractère japonais peu connu : le « ん ».
Dans certaines polices, ce caractère peut facilement être confondu avec un slash (« / »), élément clé des URLs. Les liens frauduleux, intégrés dans des emails en apparence légitimes, redirigent vers des copies malveillantes du site Booking.com, où les victimes sont incitées à télécharger un fichier MSI infecté.
Des homoglyphes pour contourner la vigilance
Les homoglyphes — des caractères de différents alphabets qui se ressemblent visuellement — sont de plus en plus utilisés par les cybercriminels. En février 2025, des chercheurs de Trend Micro avaient déjà identifié une campagne similaire ciblant des organisations ukrainiennes, où le « С » cyrillique était substitué au « C » latin pour piéger les utilisateurs via de faux documents Word.
Plus récemment, une attaque a exploité la ressemblance entre les lettres minuscules « l » et « i » pour usurper l’identité d’Intuit, une solution de comptabilité, avec des adresses email en @lntuit.com.
Ces techniques ne nécessitent pas de compétences techniques avancées, mais reposent sur la rapidité de lecture et la confiance des utilisateurs. Une fois le lien cliqué, les victimes sont souvent dirigées vers des pages imitant parfaitement le site officiel, avant que des logiciels malveillants ne soient installés à leur insu.
Comment se protéger ?
- Vérifier les URLs : Survolez les liens avant de cliquer pour afficher l’adresse réelle. Une URL suspecte peut contenir des caractères inhabituels ou des fautes d’orthographe.
- Activer l’authentification à deux facteurs : Même en cas de vol de identifiants, cette couche de sécurité supplémentaire limite les risques.
- Utiliser des outils de détection : Certains navigateurs ou extensions (comme uBlock Origin) peuvent alerter en cas de caractères suspects dans une URL.
- Rester prudent face aux pièces jointes : Ne téléchargez jamais de fichier (.doc, .MSI, .exe) depuis un email non sollicité, même si l’expéditeur semble connu.
Les attaques par homoglyphes rappellent que la cybersécurité repose aussi sur la vigilance humaine. Les entreprises et les particuliers doivent sensibiliser leurs équipes et adopter des réflexes systématiques pour vérifier l’authenticité des communications.
