Sunfox


Phishing and domain names: size matters

The last website where I entered my credit card info was www.securepaiement.elysnet.hsbc.fr. This domain name is way too long.

Dear online payment solutions, if you want people to look at the domain name to make sure they don’t get phished, use shorter domains! You might then find out it’s easier for people to trust a plain simple hsbc.fr.

1 Trackback

  1. Renverser les URLs - Sunfox :

    […] des parties est illogique. Je m’en plaignais déjà dans les commentaires, la plus haute autorité pour une adresse (le nom du site) est en plein milieu de l’adresse […]

6 Commentaires

  1. 1 atomicbee :

    Ton blog est en anglais maintenant ? :o

  2. 2 Ook? Ook! :

    Meeeb! False good idea: short names are recognize, not read. Our (superior?) brain has a natural tendancy to solve spelling problem by himself, and hbsc.fr is easy to read, to recognize, etc.

    Short domain would make phishing even easier.
    My only true solution? SSL Authentication! No need to give a name/mail/credit card number or whatever. Just have the certificate. You’re done.

    BTW, have you notice the typo? :)

  3. 3 Sunny :

    @atomicbee: non, ça devient juste un mélange bordélique.

    @Ook: I don’t agree. The natural tendency to solve spelling mistakes is stronger when there are lots of words around.

    That’s why www.securepaiement.elysnet.hbsc.fr is a bad idea. (And that’s also why I didn’t spot your deliberate typo ;))

  4. 4 Antoine :

    (Réponse en Français parce flemme)

    Je suis plutôt d’accord avec Ook. De toute manière dans le domaine, le plus important à regarder c’est la fin, car personne d’autre que hsbc ne peut créer de sous-zone de hsbc.fr. Donc on s’en tape un peu de ce qui se trouve après.

    Le domaine n’authentifie rien, il faut regarder le certificat, par qui il a été établie et à qui, et eventuellement aussi la sa classe de celui-ci (qui varie en fonction du niveau de vérification faites par le certificateur).

  5. 5 Sunny :

    Oui, la seule chose qui importe c’est la dernière section du nom de domaine. Mais je parle d’utilisateurs qui ont du mal à décortiquer les différentes parties d’un domaine (Quelle mauvaise idée d’avoir mis la partie la plus importante à la fin, et encore même pas tout à fait à la fin…)

    il faut regarder le certificat, par qui il a été établie et à qui, et eventuellement aussi la sa classe de celui-ci (qui varie en fonction du niveau de vérification faites par le certificateur).

    As-tu déjà fait tout ça ? Est-ce que tout le monde va faire ça avant chaque achat en ligne ? À des gens qui ont peur de payer en ligne j’aimerais pouvoir dire « regarde la première partie de l’adresse et si c’est un site https » et que ça suffise.

  6. 6 Antoine :

    Moi oui, je regarde ça quasiment tout le temps. Mais pour le pékin moyen, il suffit en général de lui dire de regarder le petit cadenas dans la barre d’URL.

    Les navigateurs se chargent de valider le certificat de toute manière, donc si il est invalide, si il est expiré, si l’autorité certificatrice est inconnue… Le navigateur affiche une erreur. Les versions de Firefox récentes sont d’ailleurs assez chiantes avec ça…

    Les sites de phishing ne possèdent jamais de certificat, car il est attribué pour un domaine (qui change souvent vu qu’ils se font fermés), et que les autoritées certificatrices reconnues sont payées pour vérifier leur identitée. Et aussi parce que finalement, c’est assez cher (500€ environ).

    Le risque après, c’est les fausse pages sécurisées avec un faux cadenas à coté du formulaire. C’est assez con, mais Mme Michu on lui dit de chercher un cadenas, elle fait pas la différence entre une image et le cadenas affiché dans la barre d’url de son navigateur (sauf si on lui apprend).

    Concernant les domaines, ouais c’est pas dans le bon sens, c’est con mais c’est comme ça, et c’est le genre de truc qu’on changera je pense jamais…

👨🏻‍🦰 Sunny Ripert

est un développeur web vivant à ParisContactArchives

Textes et contenus sous licence Creative Commons.