Pour lancer une attaque contre une marque, les hackers doivent soigneusement choisir le nom de domaine qu’ils comptent enregistrer. Les atteintes les plus redoutables s’appuient le plus souvent sur un nom de domaine ressemblant à s’y méprendre à celui du site officiel de la marque visée. Cela permet d’initier plusieurs types d’attaques, comme des attaques de phishing (par exemple en utilisant le nom de domaine pour héberger un site imitant le site officiel ou en créant une adresse d’expéditeur trompeuse pour l’envoi d’e-mails) et divers autres abus de marque consistant, par exemple, à diriger les utilisateurs vers de faux sites via des URL contenant une faute de frappe ou à manipuler les résultats des moteurs de recherche.
Lors de la création de sites web frauduleux, l’un des vecteurs de menace les plus prisés est l’incorporation de chaînes, telles que « www » ou « http », au nom de domaine lui-même (par exemple l’enregistrement de noms de domaine comme www-google.com ou httpgoogle.com) afin d’imiter le site officiel (à savoir www.google.com ou http://google.com).
CSC a réalisé une étude en août 2022 à l’aide de sa technologie 3D Domain Monitoring afin d’identifier sur une année les tendances associées à l’enregistrement de noms de domaine commençant par « www » ou « http ». L’analyse inclut l’identification des noms de domaine nouvellement enregistrés (N), réenregistrés (R) et abandonnés (D). On parle « d’événement » à chaque fois que l’une de ces activités est constatée pour un nom de domaine donné.
Conclusions
Entre août 2021 et août 2022, plus de 230 000 événements ont été relevés pour les noms de domaine commençant par « www », et plus de 12 000 pour les noms de domaine commençant par « http ». La figure 1 montre l’activité continue sur un an, avec de nombreux pics et creux.
.jpg)
Parmi toutes ces données, un certain nombre de chaînes de mots-clés spécifiques apparaissent plusieurs fois en tant que noms de domaine de deuxième niveau (la partie du nom de domaine à gauche du point). Ces cas de figure se caractérisent soit par des abandons et réenregistrements répétés de noms de domaine bien précis, soit par l’enregistrement de noms de domaine distincts présentant le même nom de domaine de deuxième niveau, mais avec des extensions de nom de domaine de premier niveau (TLD) différentes (on parle alors de noms de domaine similaires ou « cousins »). Parmi ces chaînes de mots-clés, plusieurs incorporaient le nom d’une marque célèbre, avec des variantes ou des fautes de frappe, révélant clairement une intention de cibler la marque en question, comme le montrent les tableaux 1 et 2.
| Chaîne de mots-clés | Nbre d’événements (enregistrements ou abandons) |
| www-roblox | 21 |
| www-lcloud | 16 |
| www-apple | 15 |
| wwwgoogle | 13 |
| www-avito | 12 |
| www-citizens | 11 |
| www-yandex | 10 |
| www-torproject | 10 |
| www-icloud | 10 |
| www-blablacar | 10 |
| www-bitstamp | 10 |
| www1royalbank | 10 |
| Chaîne de mots-clés | Nbre d’événements (enregistrements ou abandons) |
| https-skinbaron | 9 |
| https-www-ruraivla-com-lsum-main | 8 |
| httpsgoogle | 7 |
| https-csmoney | 7 |
| httpgoogle | 7 |
| http18comic | 7 |
| httpsstreamlabs | 6 |
| https-googlecom | 6 |
| https-httpsgoogle | 6 |
| httpsgoogledotcom | 6 |
| httpsgoogleplay | 6 |
| https–google | 6 |
| httpsgoogle-com | 6 |
| httpsgooglecom | 6 |
| httpsecuregoogle | 6 |
| httpsdealersvwcredit | 6 |
| https-anydesk | 6 |
| httpqgoogle | 6 |
| httpagoogle | 6 |
| httpcredito-app-nubank | 6 |
| http2google | 6 |
Les tableaux 3 et 4 présentent les TLD les plus récurrents dans l’ensemble de données.
| TLD | Nbre d’événements (enregistrements ou abandons) |
| .COM | 204 795 |
| .XYZ | 6 233 |
| .NET | 4 411 |
| .ORG | 3 008 |
| .TOP | 1 646 |
| .VIP | 1 423 |
| .INFO | 950 |
| .FR | 937 |
| .ONLINE | 714 |
| .UK | 676 |
| TLD | Nbre d’événements (enregistrements ou abandons) |
| .COM | 8 284 |
| .XYZ | 1 267 |
| .NET | 429 |
| .ORG | 388 |
| .LIVE | 228 |
| .ONLINE | 180 |
| .INFO | 170 |
| .UK | 160 |
| .FR | 154 |
| .SITE | 150 |
Sans surprise, le .COM figure tout en haut du tableau, confirmant à la fois la popularité non démentie de ce TLD et son utilisation répandue dans les noms de domaine officiels des marques usurpées. Toutefois, une série de nouveaux TLD génériques (gTLD), comme .XYZ, .TOP, .VIP, .ONLINE, .LIVE et .SITE, figurent également en bonne position, confirmant ainsi les précédentes constatations concernant la popularité de ces extensions auprès des fraudeurs[1],[2],[3].
Abus ciblant les grandes marques
CSC a également analysé la fréquence des enregistrements et abandons pour les noms de domaine commençant par « www » et « http » et incorporant l’une des 10 marques commerciales les mieux cotées en 2022[4], en partant du principe que ces dernières seraient des cibles privilégiées par les hackers. Les conclusions sont présentées dans le tableau 5.
| Marque incorporée à une chaîne | Nbre d’événements (enregistrements ou abandons) pour les noms de domaine commençant par « www » | Nbre d’événements (enregistrements ou abandons) pour les noms de domaine commençant par « http » |
| apple | 212 | 43 |
| 143 | 120 | |
| amazon | 114 | 19 |
| microsoft | 14 | 6 |
| tencent | 0 | 0 |
| mcdonalds | 8 | 2 |
| visa | 58 | 10 |
| 38 | 31 | |
| alibaba | 7 | 4 |
| vuitton | 1 | 0 |
| TOTAL | 595 | 235 |
Les mots-clés connexes sont également présents et peuvent donner une bonne indication sur l’intention des personnes enregistrant ces noms de domaine. Par exemple, dans l’ensemble de données incluant 255 événements relevés pour le nom de domaine « apple », certains mots-clés, variantes ou fautes de frappe reviennent fréquemment et peuvent indiquer une activité de phishing. C’est notamment le cas de « login » (13 occurences), « support » (47) et « activate » (17).
Il convient surtout de noter que sur les 564 noms de domaine uniques et actifs incorporant le nom de l’une des 10 grandes marques mentionnées dans l’ensemble de données ci-dessus, 16 % incluaient des enregistrements MX actifs : ces noms de domaine ont donc été configurés pour l’envoi et la réception d’e-mails, autre signe révélateur d’une probable campagne de phishing.
Lors de l’analyse du contenu des sites web répertoriés dans l’ensemble de données portant sur une marque spécifique, les noms de domaine étaient, pour la plupart, inactifs, même si plusieurs d’entre eux ont été signalés comme dangereux ou trompeurs par le navigateur, ce qui indique qu’ils ont probablement déjà hébergé des sites frauduleux. D’autres noms de domaine incluaient des liens de paiement au clic visant à monétiser le trafic web détourné vers ces sites et à amener éventuellement des utilisateurs vers des sites concurrents. Certains de ces sites affichaient également des bannières publicitaires renvoyant vers des sites de paris en ligne ou pour adultes. La figure 2 montre trois exemples de sites web proposant du contenu en ligne illicite.
Conclusions
En un an, la technologie 3D Domain Monitoring de CSC a identifié près d’un quart de million d’enregistrements ou d’abandons de noms de domaine créés pour être délibérément trompeurs en commençant par les chaînes « www » ou « http ». La plupart de ces noms de domaine semblent cibler des marques spécifiques, avec 830 événements constatés uniquement pour les 10 marques les mieux cotées.
Plusieurs noms de domaine visaient à diriger (ou ont précédemment tenté de diriger) vers du contenu illicite, tandis que 16 % des noms de domaine incorporant l’une des 10 marques les mieux cotées ont été configurés avec des enregistrements MX actifs. Cela indique qu’ils ont probablement été enregistrés pour leur fonctionnalité de messagerie, et donc pour possiblement lancer une campagne de phishing.
Ces résultats soulignent l’importance pour les titulaires de marques d’utiliser un programme d’intervention et de surveillance active des noms de domaine. La technologie 3D Domain Monitoring de CSC est capable de détecter l’enregistrement, le réenregistrement et l’abandon de noms de domaine contenant des termes utilisés par les marques et autres mots-clés d’intérêt, ainsi que leurs variantes (correspondances floues, remplacements de caractères), et ce pour un grand nombre d’extensions. Cela permet aux titulaires de marques d’identifier et de mieux appréhender les risques associés à l’enregistrement frauduleux de leurs noms de domaine par des tiers.
Pour en savoir plus sur les services d’intervention et la technologie 3D Domain Monitoring de CSC, veuillez remplir notre formulaire de contact afin de vous entretenir avec l’un de nos spécialistes.
[1] cscdbs.com/blog/branded-domains-are-the-focal-point-of-many-phishing-attacks/
[2] circleid.com/posts/20210908-credential-hinting-domain-names-a-phishing-lure
[3] unit42.paloaltonetworks.com/top-level-domains-cybercrime/
