Les tendances des noms de domaine frauduleux

Les tendances des noms de domaine frauduleux

Pour lancer une attaque contre une marque, les hackers doivent soigneusement choisir le nom de domaine qu’ils comptent enregistrer. Les atteintes les plus redoutables s’appuient le plus souvent sur un nom de domaine ressemblant à s’y méprendre à celui du site officiel de la marque visée. Cela permet d’initier plusieurs types d’attaques, comme des attaques de phishing (par exemple en utilisant le nom de domaine pour héberger un site imitant le site officiel ou en créant une adresse d’expéditeur trompeuse pour l’envoi d’e-mails) et divers autres abus de marque consistant, par exemple, à diriger les utilisateurs vers de faux sites via des URL contenant une faute de frappe ou à manipuler les résultats des moteurs de recherche.

Lors de la création de sites web frauduleux, l’un des vecteurs de menace les plus prisés est l’incorporation de chaînes, telles que « www » ou « http », au nom de domaine lui-même (par exemple l’enregistrement de noms de domaine comme www-google.com ou httpgoogle.com) afin d’imiter le site officiel (à savoir www.google.com ou http://google.com).

CSC a réalisé une étude en août 2022 à l’aide de sa technologie 3D Domain Monitoring afin d’identifier sur une année les tendances associées à l’enregistrement de noms de domaine commençant par « www » ou « http ». L’analyse inclut l’identification des noms de domaine nouvellement enregistrés (N), réenregistrés (R) et abandonnés (D). On parle « d’événement » à chaque fois que l’une de ces activités est constatée pour un nom de domaine donné.

Conclusions

Entre août 2021 et août 2022, plus de 230 000 événements ont été relevés pour les noms de domaine commençant par « www », et plus de 12 000 pour les noms de domaine commençant par « http ». La figure 1 montre l’activité continue sur un an, avec de nombreux pics et creux.

Figure 1 : nombre quotidien de nouveaux enregistrements (N), de réenregistrements (R) et d’abandons (D) pour les noms de domaine commençant par « http » (ordonnée de gauche ; bleu et vert) et « www » (ordonnée de droite ; rouge et jaune).

Parmi toutes ces données, un certain nombre de chaînes de mots-clés spécifiques apparaissent plusieurs fois en tant que noms de domaine de deuxième niveau (la partie du nom de domaine à gauche du point). Ces cas de figure se caractérisent soit par des abandons et réenregistrements répétés de noms de domaine bien précis, soit par l’enregistrement de noms de domaine distincts présentant le même nom de domaine de deuxième niveau, mais avec des extensions de nom de domaine de premier niveau (TLD) différentes (on parle alors de noms de domaine similaires ou « cousins »). Parmi ces chaînes de mots-clés, plusieurs incorporaient le nom d’une marque célèbre, avec des variantes ou des fautes de frappe, révélant clairement une intention de cibler la marque en question, comme le montrent les tableaux 1 et 2.

Chaîne de mots-clésNbre d’événements (enregistrements ou abandons)
www-roblox21
www-lcloud16
www-apple15
wwwgoogle13
www-avito12
www-citizens11
www-yandex10
www-torproject10
www-icloud10
www-blablacar10
www-bitstamp10
www1royalbank10
Tableau 1 : noms de domaine de deuxième niveau incorporant des mots-clés spécifiques à une marque revenant le plus fréquemment dans l’ensemble de données portant sur les noms de domaine commençant par « www ».

Chaîne de mots-clésNbre d’événements (enregistrements ou abandons)
https-skinbaron9
https-www-ruraivla-com-lsum-main8
httpsgoogle7
https-csmoney7
httpgoogle7
http18comic7
httpsstreamlabs6
https-googlecom6
https-httpsgoogle6
httpsgoogledotcom6
httpsgoogleplay6
https–google6
httpsgoogle-com6
httpsgooglecom6
httpsecuregoogle6
httpsdealersvwcredit6
https-anydesk6
httpqgoogle6
httpagoogle6
httpcredito-app-nubank6
http2google6
Tableau 2 : noms de domaine de deuxième niveau incorporant des mots-clés spécifiques à une marque revenant le plus fréquemment dans l’ensemble de données portant sur les noms de domaine commençant par « http ».

Les tableaux 3 et 4 présentent les TLD les plus récurrents dans l’ensemble de données.

TLDNbre d’événements (enregistrements ou abandons)
.COM204 795
.XYZ6 233
.NET4 411
.ORG3 008
.TOP1 646
.VIP1 423
.INFO950
.FR937
.ONLINE714
.UK676
Tableau 3 : les 10 TLD les plus récurrents dans l’ensemble de données portant sur les événements constatés pour les noms de domaine commençant par « www ».

TLDNbre d’événements (enregistrements ou abandons)
.COM8 284
.XYZ1 267
.NET429
.ORG388
.LIVE228
.ONLINE180
.INFO170
.UK160
.FR154
.SITE150
Tableau 4 : les 10 TLD les plus récurrents dans l’ensemble de données portant sur les événements constatés pour les noms de domaine commençant par « http ».

Sans surprise, le .COM figure tout en haut du tableau, confirmant à la fois la popularité non démentie de ce TLD et son utilisation répandue dans les noms de domaine officiels des marques usurpées. Toutefois, une série de nouveaux TLD génériques (gTLD), comme .XYZ, .TOP, .VIP, .ONLINE, .LIVE et .SITE, figurent également en bonne position, confirmant ainsi les précédentes constatations concernant la popularité de ces extensions auprès des fraudeurs[1],[2],[3].

Abus ciblant les grandes marques

CSC a également analysé la fréquence des enregistrements et abandons pour les noms de domaine commençant par « www » et « http » et incorporant l’une des 10 marques commerciales les mieux cotées en 2022[4], en partant du principe que ces dernières seraient des cibles privilégiées par les hackers. Les conclusions sont présentées dans le tableau 5.

Marque incorporée à une chaîneNbre d’événements (enregistrements ou abandons) pour les noms de domaine commençant par « www »Nbre d’événements (enregistrements ou abandons) pour les noms de domaine commençant par « http »
apple21243
google143120
amazon11419
microsoft146
tencent00
mcdonalds82
visa5810
facebook3831
alibaba74
vuitton10
TOTAL595235
Tableau 5 : nombre d’enregistrements et d’abandons pour les noms de domaine incorporant le nom de l’une des 10 marques commerciales les mieux cotées en 2022.

Les mots-clés connexes sont également présents et peuvent donner une bonne indication sur l’intention des personnes enregistrant ces noms de domaine. Par exemple, dans l’ensemble de données incluant 255 événements relevés pour le nom de domaine « apple », certains mots-clés, variantes ou fautes de frappe reviennent fréquemment et peuvent indiquer une activité de phishing. C’est notamment le cas de « login » (13 occurences), « support » (47) et « activate » (17).

Il convient surtout de noter que sur les 564 noms de domaine uniques et actifs incorporant le nom de l’une des 10 grandes marques mentionnées dans l’ensemble de données ci-dessus, 16 % incluaient des enregistrements MX actifs : ces noms de domaine ont donc été configurés pour l’envoi et la réception d’e-mails, autre signe révélateur d’une probable campagne de phishing.

Lors de l’analyse du contenu des sites web répertoriés dans l’ensemble de données portant sur une marque spécifique, les noms de domaine étaient, pour la plupart, inactifs, même si plusieurs d’entre eux ont été signalés comme dangereux ou trompeurs par le navigateur, ce qui indique qu’ils ont probablement déjà hébergé des sites frauduleux. D’autres noms de domaine incluaient des liens de paiement au clic visant à monétiser le trafic web détourné vers ces sites et à amener éventuellement des utilisateurs vers des sites concurrents. Certains de ces sites affichaient également des bannières publicitaires renvoyant vers des sites de paris en ligne ou pour adultes. La figure 2 montre trois exemples de sites web proposant du contenu en ligne illicite.

Figure 2 : sites web frauduleux ou proposant du contenu en ligne illicite hébergés sur des noms de domaine commençant par « www » ou « http », et ciblant Apple® (site de phishing potentiel), Microsoft® et Facebook®.

Conclusions

En un an, la technologie 3D Domain Monitoring de CSC a identifié près d’un quart de million d’enregistrements ou d’abandons de noms de domaine créés pour être délibérément trompeurs en commençant par les chaînes « www » ou « http ». La plupart de ces noms de domaine semblent cibler des marques spécifiques, avec 830 événements constatés uniquement pour les 10 marques les mieux cotées.

Plusieurs noms de domaine visaient à diriger (ou ont précédemment tenté de diriger) vers du contenu illicite, tandis que 16 % des noms de domaine incorporant l’une des 10 marques les mieux cotées ont été configurés avec des enregistrements MX actifs. Cela indique qu’ils ont probablement été enregistrés pour leur fonctionnalité de messagerie, et donc pour possiblement lancer une campagne de phishing.

Ces résultats soulignent l’importance pour les titulaires de marques d’utiliser un programme d’intervention et de surveillance active des noms de domaine. La technologie 3D Domain Monitoring de CSC est capable de détecter l’enregistrement, le réenregistrement et l’abandon de noms de domaine contenant des termes utilisés par les marques et autres mots-clés d’intérêt, ainsi que leurs variantes (correspondances floues, remplacements de caractères), et ce pour un grand nombre d’extensions. Cela permet aux titulaires de marques d’identifier et de mieux appréhender les risques associés à l’enregistrement frauduleux de leurs noms de domaine par des tiers.

Pour en savoir plus sur les services d’intervention et la technologie 3D Domain Monitoring de CSC, veuillez remplir notre formulaire de contact afin de vous entretenir avec l’un de nos spécialistes.


[1] cscdbs.com/blog/branded-domains-are-the-focal-point-of-many-phishing-attacks/

[2] circleid.com/posts/20210908-credential-hinting-domain-names-a-phishing-lure

[3] unit42.paloaltonetworks.com/top-level-domains-cybercrime/

[4] en.wikipedia.org/wiki/List_of_most_valuable_brands