https://cybersecuritynews.com/phishing-attack-uses-japanese-character/
Des chercheurs en sécurité ont découvert une nouvelle campagne de phishing sophistiquée qui exploite le caractère hiragana japonais « ん » pour créer des URL d'apparence trompeuse et authentique qui peuvent tromper même les internautes vigilants.
L'attaque, identifiée pour la première fois par le chercheur en sécurité JAMESWT, cible explicitement les clients de la célèbre plateforme de réservation de voyages Booking.com.
La technique malveillante exploite la similitude visuelle entre le caractère japonais « ん » (Unicode U+3093) et la barre oblique (« / ») dans certaines polices et certains systèmes.
Lorsqu'elles sont rendues dans les navigateurs Web, les URL contenant ce caractère peuvent apparaître pratiquement identiques aux chemins de sous-répertoires légitimes, créant une illusion d'authenticité presque parfaite.
La campagne de phishing utilise des URL qui semblent être des adresses Booking[.]com légitimes, telles que ce qui ressemble à « https://account.booking[.]com/detail/restric-access.www-account-booking[.]com/en/ ».
Cependant, après un examen plus approfondi, les barres obliques sont en fait remplacées par le caractère japonais « ん », faisant de la véritable destination un domaine complètement différent : www-account-booking[.]com.
« Cette tromperie visuelle est particulièrement dangereuse, car elle contourne les formations traditionnelles de sensibilisation à la sécurité », explique un expert en cybersécurité dans une analyse de rapports récents de renseignements sur les menaces. « Les utilisateurs qui ont appris à examiner attentivement les URL peuvent néanmoins être victimes, parce que l'adresse usurpée semble légitime à première vue. »
Selon l'analyse de Cybersecuritynews.com avec la sandbox ANY.RUN, l'attaque commence par des e-mails de phishing qui dirigent les victimes vers ces URL déguisées.
Une fois que les utilisateurs cliquent, ils sont finalement redirigés vers des sites malveillants qui fournissent des fichiers d'installation MSI contenant des logiciels malveillants, notamment des voleurs d'informations et des chevaux de Troie d'accès à distance.
Cette campagne ciblant Booking[.]com représente la dernière évolution des attaques par homographes, où les cybercriminels exploitent des caractères visuellement similaires issus de différents jeux de caractères Unicode pour tromper les utilisateurs. Cette technique s'appuie sur des années d'attaques semblables utilisant des caractères cyrilliques pour imiter les lettres latines dans les noms de domaine.
Selon le rapport 2025 sur les tendances du phishing, les attaques par homographe sont devenues de plus en plus sophistiquées, car les cybercriminels cherchent de nouveaux moyens de contourner les filtres de messagerie et les outils de sécurité.
L’utilisation du caractère japonais « ん » est particulièrement intelligente parce qu'elle maintient la cohérence visuelle tout en contournant de nombreux systèmes de détection existants.
Les experts en sécurité recommandent plusieurs mesures de protection contre ces attaques Unicode. Il est conseillé aux utilisateurs de survoler les liens avant de cliquer pour afficher l'URL de destination réelle, bien que cette technique présente des limites en cas d'usurpation de caractères sophistiquée.
Les navigateurs modernes comme Chrome ont mis en place des protections contre de nombreuses attaques homographes, mais les chercheurs en sécurité soulignent que l'inspection visuelle des URL à elle seule n'est plus infaillible.