La menace du typosquatting
Julien
Est-ce qu’il vous est déjà arrivé, en tapant l’URL d’un site web que vous connaissez bien, de tomber sur une page suspecte voire complètement inattendue ? Il se peut que le site que vous avez souhaité visité ait été victime d’une attaque de typosquatting.
Dans cet article, nous allons explorer ce qu’est le typosquatting, ses objectifs, ainsi que les moyens efficaces pour vous en protéger.
Qu’est-ce que le typosquatting ou typosquattage ?
Le typosquatting est une technique de piratage qui consiste à enregistrer un ou plusieurs noms de domaine très similaires à celui d’un site “légitime” en exploitant les fautes de frappe courantes des internautes.
Cette méthode repose sur l’hypothèse que de nombreux utilisateurs commettent des erreurs en saisissant une adresse URL manuellement. Ainsi, les différences sont assez subtiles pour ne pas alarmer l’utilisateur, d’autant plus si le site pirate est bien fait.
Par ailleurs, les liens illégitimes peuvent être envoyés directement à l’utilisateur dans le cadre de phishing. Si le lien envoyé à une personne est visuellement proche de celui qu’il connaît, il sera plus susceptible de cliquer dessus.
Quelle est la différence entre typosquatting et cybersquatting ?
Le cybersquatting consiste à enregistrer des noms de domaine liés à des marques, ou entreprises célèbres dans le but de les revendre ou nuire à la réputation de l’entreprise.
Cette pratique peut engendrer des pertes financières et favoriser des activités de phishing ou de contrefaçon.
Dans le cas du typosquatting, l’attaque repose spécifiquement sur les erreurs humaines. Les typosquatteurs profitent de légères variations dans l’écriture pour rediriger les internautes vers d’autres sites. Les impacts sur la sécurité incluent le vol de données et l’infection par des malwares.
Comment agissent les typosquatteurs ?
Pour parvenir à tromper les utilisateurs, les typosquatteurs enregistrent des noms de domaine semblables à celui d’un site. Ces variations sont parfois si discrètes qu’il est difficile de les remarquer de prime abord.
C’est pour cela qu’en tant que détenteur d’un nom de domaine, il convient de déposer plusieurs variantes et de surveiller tout dépôt de nouveau nom de domaine similaire au(x) vôtre(s).
Concrètement, les modifications d’URL peuvent être :
- par addition de caractères au nom de domaine (impots.gouv.fr ➔ impots.gouvernement.fr)
- par l’inversion de caractères dans l’URL (goolge.com au lieu de google.com)
- par insertion d’une ou plusieurs lettres (service-public.fr ➔ services-public.fr)
- en utilisant des homoglyphes pour exploiter la ressemblance des caractères, par exemple « g00gle.com » (avec deux zéros à la place de deux "o") ou « g00gle.com » où le "l" est remplacé par un "i" majuscule
- par hyphenation (ajout de tirets) : (leboncoin.fr ➔ le-boncoin.fr)
- par omission de caractères du nom de domaine
- par répétition de lettres
- par transposition (change l’ordre de plusieurs caractères dans le nom de domaine)
- par l’utilisation d’un mauvais TLD (Top-domain-level : remplacer l’extension de domaine)
- ...
Ici, en tapant dans la barre d’adresse amazon.net, on se retrouve sur un site de vente d’outillage informatique n’ayant rien à voir avec la société Amazon. Le site profite de la notoriété d’Amazon afin de faire sa promotion.
Quels sont les objectifs du typosquatting ?
Le typosquatting peut tout d’abord sembler anodin, mais il s’agit d’une menace multi-facettes. Ses répercussions peuvent aller bien au-delà de la simple promotion de service comme avec l’exemple précédent.
Les objectifs varient selon les intentions des cybercriminels et les conséquences peuvent être plus ou moins graves :
Générer des revenus
Certains typosquatteurs exploitent les fautes de frappe dans les URL pour détourner le trafic et générer des visites vers un site ou des pages de redirection. En accumulant les clics, ils peuvent générer des revenus grâce aux systèmes de vente en ligne (commission par clic), sans pour autant nuire directement à l’utilisateur.
Atteinte à la réputation
Des entreprises peuvent utiliser le typosquatting pour nuire à la réputation d’une marque concurrente. En créant des sites aux noms proches, ils peuvent dès lors diffuser des informations fausses ou publier du contenu préjudiciable pour ternir l’image de la société ciblée
Phishing et vol d’informations personnelles
Un des objectifs les plus courants du typosquatting est de piéger les utilisateurs pour leur voler des informations personnelles sensibles. Par exemple, des identifiants de connexion, des mots de passe ou des informations bancaires. En créant des sites qui imitent parfaitement l’apparence d’un site légitime, les cybercriminels incitent les victimes à entrer leurs données sans se douter de la fraude. Ils peuvent ensuite utiliser les données obtenues pour usurper l’identité des utilisateurs (spoofing).
Dans certains cas, ils peuvent également menacer de divulguer des informations sensibles ou de causer des dommages à moins qu’une rançon ne soit payée.
Fraude financière
Les cybercriminels peuvent également utiliser le typosquatting pour mener des escroqueries financières. En effet, en redirigeant les utilisateurs vers des faux sites de paiement ou de commerce en ligne, ils peuvent inciter les victimes à réaliser des transactions frauduleuses.
Infection par des logiciels malveillants
Les typosquatteurs peuvent aussi rediriger les internautes vers des sites contenant des logiciels malveillants, tels que des ransomwares ou des keyloggers. Une fois que l’utilisateur arrive sur ces sites, un simple clic ou la visite du site peut déclencher le téléchargement d’un virus ou d’un logiciel espion. Ce dernier peut être capable de capturer des données confidentielles ou de prendre le contrôle de l’appareil.
Comment se protéger du typosquatting?
Pour éviter aux visiteurs de votre site de se tromper, il est donc important d’assurer une formation continue et les sensibiliser sur les risques de spoofing (usurpation d’identité).
Conseillez à vos collaborateurs d’accéder au site via un moteur de recherche, ou de l’enregistrer, plutôt que de saisir directement l’URL ou de cliquer depuis un site non fiable.
Adopter une stratégie proactive
De votre côté, nous vous conseillons d’effectuer des actions de surveillance sur les dépôts de noms de domaine.
De nombreuses entreprises adoptent une stratégie proactive pour se prémunir contre les cybermenaces en enregistrant des noms de domaine proches du leur.
Cette démarche vise à empêcher que des domaines similaires puissent être enregistrés et utilisés à des fins malveillantes, comme l’hameçonnage ou l’usurpation d’identité. Cependant, la tâche est loin d’être simple. En effet, il est impossible de passer en revue manuellement toutes les combinaisons possibles de domaines similaires.
Pour relever ce défi, des solutions d’EASM (External Attack Surface Management), telles qu’AlgoLightHouse, offrent une approche plus efficace.Vous serez alertés en cas d’utilisation suspecte non autorisée du nom ou du logo de votre marque. Cela vous permettra de prendre rapidement des mesures.
Nos analystes peuvent surveiller en continu l’ensemble de vos périmètres externes afin d’identifier rapidement les nouveaux noms de domaine proches du vôtre et susceptibles d’héberger des sites de hameçonnages. Pour cela, ils effectuent des scans passifs. Ces recherches s’appuient sur des techniques sophistiquées, telles que le fuzzing (programme de recherche), et sont complétées par une surveillance constante auprès des différents bureaux d’enregistrement.
(exemple d’alerte remontée via notre plateforme AlgoLightHouse)
Signaler les domaines frauduleux
Vous pouvez aussi signaler directement le domaine frauduleux au bureau d’enregistrement pour enquêter sur son origine et, si possible, le suspendre. D’autre part, si vous pensez que le typosquatting peut être lié à des activités illégales, vous pouvez signaler l’affaire aux autorités compétentes, comme les forces de l’ordre ou les autorités de régulation de l’Internet ; le site Pharos par exemple. A savoir, ce dernier est la plateforme officielle du gouvernement pour signaler les comportements illégaux en ligne.
Récemment, c’est le nom de domaine qouv.fr qui a été enregistré, et gelé dans la foulée par l’AFNIC (Association française pour le nommage Internet en coopération). En effet, le nom de domaine détient une ressemblance très forte et à s’y méprendre avec ‘gouv.fr’, extension officielle des sites du gouvernement français. Ce cas illustre l’importance d’une surveillance continue pour empêcher les pirates de détourner l’identité numérique des organisations et des institutions publiques.
Conclusion
Se protéger des menaces externes est primordial. La menace du typosquatting est bien réelle et peut avoir des conséquences graves pour les entreprises et les utilisateurs. Il est essentiel de prendre des mesures afin de prévenir ce type d’attaques. Des services comme AlgoLightHouse permettent de vous protéger en détectant ces menaces à travers des scans passifs et non intrusifs pour vous.
Partager cet article :
Découvrez nos autres articles
Le shadow IT, angle mort de la sécurité informatique
Le Shadow IT, connu aussi sous le nom d’informatique fantôme, informatique parallèle ou Rogue...
La menace du typosquatting
Est-ce qu’il vous est déjà arrivé, en tapant l’URL d’un site web que vous...
Table ronde sur la gestion de la surface d’attaque externe – 26/11
Inscriptions : Retrouvez des retours d'expérience concrets de RSSI et chefs projet cybersécurité du...