Le typosquatting de noms de domaines consiste à acheter des noms de domaines proches de noms de domaines existants, souvent d'entreprises.
La plupart du temps, ce dépôt de noms de domaines a pour but de nuire à l'image d'une entreprise en y plaçant un contenu diffamant ou portant atteinte à son image publique.
D'autre fois par contre, le typosquatting est l'oeuvre d'une autre catégorie de cybercriminels poursuivant des buts plus malveillants :
- Mise en place d'un site de phishing (ou hameçonnage).
- Diffusion de malware : un exemple célèbre : goggle.com. Je n'ai pas vérifié si c'est toujours le cas mais le site délivrait du malware lors de sa consultation. On imagine aisément que cela a pu impacter des milliers de personnes qui avaient mal tapé "google.com" dans leur barre de navigation. Se faire infecter son ordinateur parce qu'on a mal tapé une adresse, c'est bête quand même :-/
- Collecte d'information : cet aspect est assez peu documenté, et c'est là qu'intervient à point nommé une étude de Peter Kim et Garrett Gee, nommée "Doppelganger Domains".
En gros, l'idée est de typosquatter des noms de domaines de certaines entreprises, dans le but de collecter tous les e-mails envoyés par erreur vers leur domaine. Un "Doppelganger Domain" est un nom de domaine frauduleux, écrit de la même façon qu'un nom de domaine légitime, mais sans le "." entre un sous-domaine et le domaine.
Un peu confus ? Un exemple :
1. L'entreprise OnestLesMeilleurs dispose d'un nom de domaine onestlesmeilleurs.com (qui n'existe pas au moment de la rédaction du présent article). Leur site Internet se trouve sur fr.onestlesmeilleurs.com.
2. Un fraudeur enregistre le nom de domaine fronestlesmeilleurs.com : notez qu'il manque le "." entre le nom de domaine et le sous-domaine, faisant ainsi la différence avec le site légitime.
3. Le fraudeur configure un serveur mail permettant de récupérer tous les mails ("catch all") envoyés vers fronestlesmeilleurs.com
4. Le fraudeur attend, et voit des mails arriver : il s'agit de mails de gens ayant oublié de taper le "." dans le nom de domaine, et envoyant tout type d'information. Il peut s'agir de données confidentielles à destination d'un employé de la société ... Ou de mails contenant des références de cartes bancaires, etc.
Le fraudeur peut même se faire passer pour le destinataire et répondre à l'émetteur, sans que ce dernier n'y fasse attention : le vol de données/la fuite d'information se poursuit...
Les chercheurs ayant rédigé l'étude "Doppelganger Domains" ont voulu tester le volume d'information pouvant être collectée par ce biais, et l'impact éventuel sur des entreprises du "Fortune 500".
Le résultat est plutôt édifiant : sur 500 sociétés, 151 sont vulnérables à une telle attaque, soit près de 30%.
Les chercheurs ont enregistré 30 "doppelganger domains" et ont observé ce qui se passait pendant 6 mois. Ils ont ainsi collecté près de 120 000 mails, représentant près de 20 gigabytes de données.
A noter que pendant ces 6 mois, une seule société a mené une action contre le doppelganger domain qui l'impactait. (probablement par une récupération de nom de domaine usurpant la marque...)
Comment protéger son entreprise de ce type d'attaques ?
- Déployer une veille active sur tous les noms de domaines typosquattés susceptibles d'impacter la société.
- Déposer tous les doppelganger domains et plus généralement tous les domaines estimés "à risque", à titre préventif.
- Récupérer tous les noms de domaines typosquattés déjà enregistrés par des tiers, en procédant notamment par une procédure UDRP.