Campagne de phishing au Japon: détournement des URLs Basic Auth pour usurper des marques
Selon Netcraft, une campagne sophistiquée de phishing cible des organisations japonaises, notamment GMO Aozora Bank, en exploitant le format d’URL hérité de l’authentification Basic (username:password@domain). L’analyse a identifié 214 URLs similaires en 14 jours, dont 71,5% visant des utilisateurs japonais, avec usurpation de grandes marques comme Amazon, Google, Yahoo, Facebook et Netflix. Technique clé: insertion d’un domaine de confiance avant le symbole @ dans l’URL (ex. hxxps://trusted-domain@malicious-domain). Les navigateurs traitent la partie avant @ comme des identifiants, pas comme la destination, ce qui dissimule la véritable cible. Les attaquants placent des domaines légitimes comme gmo-aozora[.]com dans le champ « nom d’utilisateur », accompagnés de chaînes encodées simulant des jetons de session. Sur le plan infrastructurel, plusieurs domaines malveillants — coylums[.]com, blitzfest[.]com, pavelrehurek[.]com — hébergent une infrastructure de phishing identique, avec un chemin commun /sKgdiq. Les pages utilisent des CAPTCHA en japonais pour renforcer la véracité perçue et filtrer les accès automatisés. ...