Phishing : attention à ces 1000 noms de domaine .fr qui viennent d’être enregistrés !
A la mi-juillet, près de de 1 000 noms de domaines en .fr ont été enregistrés. Leur particularité : ce sont des noms de domaine très proches de ceux que l'on connaît tous ! Ainsi, facebook.fr devient facebbook.fr et 20minutes.fr devient 20linutes.fr. Ces noms de domaine seront très probablement exploités dans le cadre de campagnes de phishing dans les semaines et mois à venir.
Ces noms de domaine, très proches des noms de domaine officiels, sont là pour tromper l'utilisateur, car à une ou deux lettres près, ils sont identiques au nom de domaine officiel. Ainsi, quand on accède à "facebook.fr", si l'on se connecte en fait sur "facebbook.fr", cela ne va pas forcément sauter aux yeux ! Dans le cas présent, cet utilisateur identifié par l'adresse e-mail [email protected] a enregistré près de 1 000 noms de domaine en moins de 48h. Même si ce procédé n'est pas nouveau, c'est la quantité qui est particulièrement élevée cette fois-ci.
L'ensemble de ces noms de domaine sont similaires à un site Internet, une entreprise ou un établissement français (Leboncoin, Eurosport, Fortuneo, Michelin, France Football, Mappy, Larousse, YouTube, Pole Emploi, CHU de Bordeaux, Crous de Lyon, Mondial Relay, etc...). Les exemples sont nombreux :
- allocine.fr devient aalocine.fr
- aliexpress.fr devient aliexress.fr
- airbnb.fr devient auirbnb.fr
- creditmutuel.fr devient creditmuteuel.fr
- labanquepostale.fr devient labanqueposttale.fr
- Etc....
La liste complète est disponible à cette adresse : liste des noms de domaines
La technique employée par la personne à l'origine de ces enregistrements est appelée le typosquatting : une attaque d'ingénierie sociale dont l'objectif est d'utiliser un nom de domaine très proche du nom de domaine original. Ainsi, si l'utilisateur effectue une faute de frappe, il peut se retrouver sur ce site malveillant, mais c'est également utilisé dans le cadre d'attaques de phishing. En effet, puisque l'adresse est proche de celle officielle, cela a plus de chance de fonctionner.
L'administrateur système Nicolas Pawlak (twitter : @_mikolajek_) est à l'origine de cette découverte ! Le 22 juillet 2022, il a tweeté : "Avant-hier, un tiers a déposé 967 domaines en .fr (soit 31% des domaines .fr déposés ce jour-là !) similaires aux noms de nombreuses organisations.", en fournissant le lien vers sa liste. Compte tenu du prix de l'enregistrement d'un domaine, cela représente un investissement de plus de 6 000 euros.
Ces noms de domaine seront probablement utilisés dans le cadre d'attaques de phishing, même s'il n'y a aucune certitude à ce jour. À moins que l'objectif soit simplement de revendre ces noms de domaine pour faire du bénéfice. Quoi qu'il en soit, méfiance (comme d'habitude, en fait) !
