Les cybercriminels redoublent d’ingéniosité pour tromper les internautes. Une nouvelle méthode de phishing utilise des caractères invisibles pour dissimuler du code malveillant. Ce stratagème sophistiqué permet d’échapper aux outils de sécurité et s’ajoute à d’autres techniques récentes qui rendent les attaques encore plus difficiles à détecter.

Les attaques par phishing sont devenues l’un des principaux dangers sur Internet. Celles-ci consistent à envoyer des e-mails frauduleux ou à créer de faux sites web pour voler des informations personnelles, comme des mots de passe ou des numéros de carte bancaire. Pour éviter d’être repérées, elles utilisent des techniques de plus en plus complexes afin de rendre leur détection plus difficile pour les utilisateurs et les systèmes de sécurité.

Récemment, des chercheurs en cybersécurité ont découvert une nouvelle méthode utilisée par les pirates. Elle repose sur l’insertion de caractères invisibles dans du code informatique. Ce stratagème permet aux cybercriminels de cacher des scripts malveillants à l’intérieur de pages web ou d’e-mails frauduleux pour rendre leur détection presque impossible. Cette approche innovante s’ajoute à d’autres techniques récentes, comme le DoubleClickjacking, qui détourne les double-clics des utilisateurs pour exécuter des actions à leur insu, ou encore l’utilisation détournée des outils d’accessibilité de Windows pour masquer des logiciels malveillants et contourner les antivirus.

Des caractères invisibles cachent du code malveillant dans les attaques de phishing

Cette nouvelle méthode de phishing exploite des caractères spéciaux issus de l’alphabet coréen, appelés “caractères Hangul invisibles”. Ces symboles ne s’affichent pas à l’écran, mais ils sont bel et bien pris en compte par les navigateurs et les programmes informatiques. Les pirates les utilisent pour dissimuler du code dangereux à l’intérieur de fichiers ou de pages web. Résultat : même les outils de sécurité ont du mal à repérer ces scripts malveillants, car ils ressemblent à de simples espaces vides.

Pour exécuter leur attaque, les hackers insèrent ce code invisible dans un site frauduleux ou un e-mail de phishing. Lorsqu’un utilisateur tombe dans le piège, le script caché s’active et peut voler ses informations personnelles ou infecter son appareil. Cette méthode est particulièrement dangereuse, car elle peut être intégrée à des pages web légitimes sans éveiller de soupçons. Les experts en cybersécurité craignent que cette technique ne soit rapidement adoptée par d’autres cybercriminels, comme cela a été le cas avec d’autres méthodes récentes.

Pour se protéger, il est recommandé de toujours vérifier l’origine d’un e-mail avant de cliquer sur un lien, d’activer des protections avancées contre le phishing et de mettre régulièrement à jour ses outils de sécurité.

Source : Juniper