Cet outil effectue une détection approfondie du phishing/fraude sur une seule URL en inspectant sa structure. Il est volontairement complémentaire du URL Validator : ce dernier vérifie les signaux de base protocole/IP/XSS, tandis que cet outil se concentre sur les techniques de tromperie utilisées pour faire paraître légitime une URL malveillante.
Ce qu'il vérifie (6 dimensions) :
- Homographe IDN (script mixte) 🔴 — noms de domaine internationalisés (punycode
xn--) mélangeant des scripts (ex. latin + cyrillique). C'est l'attaque « аpple.com » : un « а » cyrillique identique au « a » latin mais résolvant un domaine différent.
- Identifiants embarqués (userinfo) 🔴 — l'astuce
user:pass@host : https://[email protected] place la marque avant "@", mais la destination RÉELLE est evil.com. Les navigateurs masquent le userinfo, rendant cela très trompeur.
- TLD à haut risque 🟠 — TLD souvent abusés pour spam/arnaques (enregistrement bon prix/gratuit :
.tk .xyz .top .click et bien d'autres). Pas intrinsèquement malveillant, mais un fort signal de prudence.
- Anomalies d'encodage 🟠/🟡 — double encodage procentuel (
%2561), séquences de protocole encodées et caractères de contrôle C0 — tous utilisés pour passer les WAF ou tromper le lecteur.
- Tromperie de sous-domaine 🟠 — un nom de marque placé en position de sous-domaine (
paypal.security-update.com) ; le domaine enregistrable est security-update.com, sans lien avec PayPal.
- Obscurcissement numérique/IP 🟠 — hôtes IP bruts (
192.168.1.1) ou formes numériques obscurcies (hex/décimal) cachant la destination.
Score de risque. Chaque constatation ajoute à un score 0-100 (critique 35, élevé 20, moyen 10, bas 4), projeté sur Bas/Moyen/Élevé/Critique.
Limites. C'est une analyse structurelle statique uniquement — aucune requête réseau n'est émise, donc impossible de détecter les domaines malveillants fraîchement enregistrés, les sites légitimes compromis ou les chaînes de redirection. Ne remplace PAS le renseignement sur les menaces en temps réel comme Google Safe Browsing. Une note « Bas » signifie qu'aucun signal structurel de phishing n'a été trouvé, PAS que la destination est sûre.