Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ETUDE VENAFI : Un grand nombre de domaines similaires fait courir des risques de phishing aux acheteurs en ligne

septembre 2018 par Venafi

Venafi a publié hier une étude sur l’explosion de domaines similaires, qui sont couramment utilisés pour voler des données sensibles auprès des acheteurs en ligne. L’étude de Venafi a analysé des domaines suspects ciblant les 20 principaux détaillants sur cinq marchés clés : les États-Unis, le Royaume-Uni, la France, l’Allemagne et l’Australie.

À mesure que le taux d’achats en ligne augmente, les clients sont ciblés par des domaines similaires. Les cyber-attaquants créent ces faux domaines en substituant quelques caractères aux URL. Parce qu’ils redirigent vers des sites de vente en ligne malveillants qui imitent des sites web de vente au détail légitimes et bien connus, il est de plus en plus difficile pour les clients de détecter les faux domaines. De plus, étant donné que bon nombre de ces pages malveillantes utilisent un certificat TLS approuvé, elles semblent sécuritaires pour les acheteurs en ligne qui fournissent sans le savoir des informations de compte sensibles et des données de paiement.

« L’usurpation de domaine a toujours été une technique de base des attaques web axées sur l’ingénierie sociale et le mouvement global vers le chiffrement de tout le trafic web ne protège pas les vendeurs légitimes contre cette technique très courante » a déclaré Jing Xie, analyste menaces principal de Venafi. « Comme les domaines malveillants disposent désormais d’un certificat TLS légitime, de nombreuses entreprises estiment que les émetteurs de certificats devraient être responsables de la vérification de la sécurité de ces certificats. Malgré des avancées significatives dans les meilleures pratiques suivies par les émetteurs de certificats, c’est une très mauvaise idée. »

« Aucune organisation ne doit compter exclusivement sur les autorités de certification pour détecter les demandes de certificats suspects » a poursuivi M. Xie. « Par exemple, les cyber-attaquants ont récemment mis en place un domaine similaire pour NewEgg, un site web avec plus de 50 millions de visiteurs par mois. Le domaine similaire utilisait un certificat TLS approuvé émis par l’autorité de certification qui a suivi toutes les meilleures pratiques et exigences de base. Ce site de phishing a été utilisé pour voler des données de compte et de carte de crédit pendant plus d’un mois avant que des chercheurs en sécurité ne les arrêtent. »

Selon l’étude de Venafi, il y a eu une explosion du nombre de domaines potentiellement frauduleux. Il y a plus du double du nombre de domaines similaires par rapport aux domaines légitimes, et chaque détaillant en ligne étudié est ciblé.

Les principales conclusions de l’étude sont les suivantes :
• Le nombre total de certificats pour les domaines similaires est supérieur de plus de 200 % au nombre de domaines de sites marchands authentiques.
• Pour les 20 principaux détaillants allemands en ligne, il existe presque quatre fois plus de domaines similaires que de domaines valides.
• Les grands détaillants présentent des objectifs plus importants pour les cybercriminels. L’un des 20 plus grands détaillants américains compte plus de 12 000 domaines similaires ciblant ses clients.
• La croissance dans des domaines similaires semble être liée à la disponibilité de certificats TLS gratuits ; 84 % des domaines similaires étudiés utilisent des certificats gratuits de Let’s Encrypt.

À l’approche de la saison des achats de fin d’année, il y aura probablement une croissance de la quantité de domaines similaires. Pour les détaillants en ligne qui découvrent des domaines malveillants, ils peuvent prendre plusieurs mesures pour protéger leurs clients :
• Recherchez et signalez les domaines suspects à l’aide de la navigation sécurisée Google. La navigation sécurisée Google est un service anti-phishing du secteur qui identifie et liste les sites web dangereux. Les détaillants peuvent signaler un domaine à https://safebrowsing.google.com/saf....
• Signaler les domaines suspects au groupe de travail anti-phishing (Anti-Phishing Working Group ou APWG). L’APWG est une organisation internationale à but non lucratif qui vise à limiter la cybercriminalité perpétrée par le biais du phishing. Les détaillants peuvent signaler un domaine suspect à https://www.antiphishing.org/report... ou par courriel à reportphishing@apwg.org.
• Ajoutez l’autorisation de l’autorité de certification (Certificate Authority Authorization ou CAA) aux enregistrements DNS des domaines et sous-domaines.

La CAA permet aux organisations de déterminer quelles autorités de certification peuvent émettre des certificats pour les domaines qu’elles possèdent. C’est une extension de l’enregistrement DNS du domaine et elle prend en charge les balises de propriété qui permettent aux propriétaires de domaines de définir la politique de l’autorité de certification pour des domaines entiers ou pour des noms d’hôte spécifiques.

• Utilisez les progiciels pour rechercher des domaines suspects. Les logiciels de détection de violation de droits d’auteur peuvent aider les détaillants à trouver des sites web malveillants, empêchant l’utilisation non autorisée de leurs logos ou de leurs marques. Les solutions qui offrent également une fonctionnalité anti-phishing peuvent aider à rechercher des domaines similaires.

« En fin de compte, nous devrions nous attendre à des sites web encore plus malveillants conçus pour l’ingénierie sociale dans le futur » a conclu M. Xie. « Pour se protéger, les entreprises ont besoin de moyens efficaces pour découvrir les domaines qui ont une forte probabilité d’être malveillants en surveillant et en analysant les journaux de transparence des certificats. De cette manière, ils peuvent tirer parti des avancées récentes du domaine pour détecter les enregistrements de certificats à haut risque, paralysant les sites malveillants avant qu’ils ne causent des dommages en retirant leurs certificats. »




Voir les articles précédents

    

Voir les articles suivants