Faites attention lorsque vous saisissez un nom de domaine dans la barre d’adresse d’un navigateur, car il est beaucoup trop facile de toucher une clé et de se retrouver quelque part où vous ne voulez pas aller. Par exemple, si vous essayez de visiter certaines des destinations les plus populaires sur le Web, mais que vous omettez le « o » dans .com (et tapez .cm à la place), il y a de fortes chances que votre navigateur soit bombardé d’alertes de logiciels malveillants et d’autres messages trompeurs. – pouvant même entraîner le blocage complet de votre ordinateur. Il se trouve que bon nombre de ces domaines semblent liés à une société de marketing dont le PDG est un criminel condamné et qui s’est autrefois autoproclamé « Spam King ».
Matthieu Chambres est un professionnel de la sécurité et chercheur à Atlanta. Plus tôt ce mois-ci, Chambers a écrit un article sur son blog personnel détaillant ce qu’il a trouvé après que plusieurs utilisateurs dont il s’occupe ont accidentellement mal saisi différents domaines – tels que ESPN[dot]cm.
Chambers a déclaré que l’utilisateur qui avait visité ce domaine lui avait dit qu’après avoir tapé espn.com, son écran d’ordinateur était rapidement rempli d’alertes sur les logiciels malveillants et d’innombrables autres fenêtres contextuelles. Les journaux de sécurité du système de cet utilisateur ont révélé que l’utilisateur avait effectivement tapé espn[dot]cm, mais lorsque Chambers a examiné le code source de cette page Web, il a trouvé une page de contenu d’espace réservé inoffensive à la place.
« Une chose que nous remarquons est que tous les liens générés à partir de ces domaines ont tendance à ne fonctionner qu’une seule fois, si vous essayez de revenir, c’est un 404 », a écrit Chambers, faisant référence au message standard 404 affiché dans le navigateur lorsqu’une page Web n’est pas trouvée. . « Le fichier est supprimé pour empêcher les chercheurs d’essayer de le récupérer ou les scanners automatiques de le télécharger. De plus, une partie du code d’exploitation sur ces sites se vaporisera au hasard, et ils n’auront pas de code dessus, mais étaient simplement militarisés dans des campagnes. Il peut s’agir de l’agent utilisateur ou d’un autre facteur, mais ils restent définitivement inactifs pendant des périodes de temps. »
Espn[dot]cm est l’un des plus d’un millier de soi-disant « typosquattage” domaines hébergés sur la même adresse Internet (85.25.199.30), y compris etna[dot]cm, aol[dot]cm, boîte[dot]cm, chasser[dot]cm, citicards[dot]cm, costco[dot]cm, Facebook[dot]cm, géoco[dot]cm, hulu[dot]cm, iTunes[dot]cm, pnc[dot]cm, ardoise[dot]cm, suntrust[dot]cm, turbotaxe[dot]cmet Walmart[dot]cm. J’ai compilé une liste partielle des domaines de typosquatting les plus populaires qui font partie de ce réseau ici (PDF).
BreachTrace a cherché à approfondir un peu les conclusions de Chambers, en recherchant certains des enregistrements d’enregistrement de domaine liés à la liste des domaines de typosquattage point-cm. Heureusement, tous les domaines redirigent actuellement les visiteurs vers une seule des deux pages de destination – soit antistrophebail[dot]com ou frissonscardiaque[dot]com.
Pour le moment, si l’on visite l’un de ces domaines directement via un navigateur Web de bureau (je déconseille cela), il y a de fortes chances que le site affiche un message disant : « Désolé, nous n’avons actuellement aucune promotion disponible pour le moment ». La navigation sur certains d’entre eux avec un appareil mobile conduit parfois à une page invitant le visiteur à répondre à un « court sondage » en échange d’une « opportunité d’obtenir un cadeau ». [sic] cartes, coupons et autres offres incroyables!”
Ces domaines antistrophebail et chillcardiac – ainsi que plus de 1 500 autres – ont été enregistrés à l’adresse e-mail : [email protected]. Une recherche Web sur cette adresse ne nous dit pas grand-chose, mais en la saisissant à YahooLa page « Mot de passe oublié » de répertorie une adresse partiellement obscurcie à laquelle Yahoo peut envoyer une clé de compte qui peut être utilisée pour réinitialiser le mot de passe du compte. Cette adresse est k*****ng@mediabreakaway[dot]com.
L’adresse e-mail complète est kmmanning@mediabreakaway[dot]com. Selon la page « leadership » de mediabreakaway[dot]com, l’adresse e-mail [email protected] appartient presque certainement à un Kacy Manningqui est répertorié comme le « responsable des projets spéciaux » dans une société de marketing basée au Colorado Media Breakaway LLC.
Media Breakaway est dirigé par Scott Richterun criminel condamné qui a été poursuivi avec succès pour spam par certaines des plus grandes entreprises de médias au fil des ans.
En 2003, le procureur général de New York a poursuivi Richter et son ancienne société OptInRealBig[dot]com après une enquête menée par Microsoft, il a découvert que son entreprise était la source de centaines de millions de spams vantant quotidiennement des produits et services douteux. OptInRealBig a ensuite déclaré faillite face à un jugement de 500 millions de dollars contre la société. A l’époque, le groupe anti-spam Spamhaus a classé Richter comme le troisième spammeur le plus prolifique au monde. Pour en savoir plus sur la façon dont Richter perçoit son entreprise, consultez cette interview hilarante que Richter a donné au Le spectacle quotidien en 2004.
En 2006, Richter a payé 7 millions de dollars à Microsoft dans un règlement découlant d’un procès alléguant du spamming illégal.
En 2007, Richter et Media Breakaway ont été poursuivis par le site de réseautage social Mon espace; un an plus tard, un cabinet d’arbitrage a attribué à MySpace 6 millions de dollars en dommages et frais d’avocats.
En 2013, le Société Internet pour les noms et numéros attribués (ICANN), la société à but non lucratif qui supervise l’industrie de l’enregistrement des noms de domaine, a résilié le contrat de registraire pour Dynamic Dolphin, un registraire de noms de domaine dont Richter était le PDG.
Selon les contrats que l’ICANN exige que tous les bureaux d’enregistrement signent, les bureaux d’enregistrement ne peuvent avoir personne en tant que dirigeant de la société qui a été reconnu coupable d’une infraction pénale impliquant des activités financières. Alors que les délits de spam de Richter impliquent tous des affaires civiles, BreachTrace a découvert il y a plusieurs années que Richter avait en fait plaidé coupable en 2003 à une accusation de grand vol.
Scott Richer. Image : 4law.co.il
Richter, alors âgé de 32 ans, a été arrêté pour complot en vue de revendre des biens volés, notamment un Bobcat, un générateur, des ordinateurs portables, des cigarettes et des outils. Il a ensuite plaidé coupable à un chef d’accusation de grand larcin et a été condamné à payer près de 38 000 $ en dédommagement pour couvrir les frais liés à l’affaire.
Ni Richter ni Media Breakaway n’ont répondu aux demandes de commentaires sur cette histoire.
Chambers a déclaré qu’il semble que Media Breakaway vende de l’espace publicitaire à des acteurs peu scrupuleux qui poussent des programmes potentiellement indésirables (PPI) ou des logiciels publicitaires sur le réseau.
« Vous finissez par sortir de l’entonnoir vers le site de charge utile d’un annonceur, et Media Breakaway est l’éditeur qui achemine ces sites » parqués / typosquatting « comme une passerelle », a déclaré Chambers. « La recherche sur la IP sous VirusTotal Communicating Files affiche des fichiers comme celui-ci (42/66 moteurs) rapportant à l’adresse IP qui héberge tous ces sites, et ça remonte au moins mars 2015. Ce fichier SETUPINST.EXE a une détection principalement en tant que LiveSoftAction, GetNow, ElDorado et Multitoolbar. Je pense que ça pousse juste [content] pour les annonceurs sommaires. »
Il est remarquable que tant de grandes marques d’entreprises ne fassent pas plus pour contrôler leurs marques et pour empêcher les visiteurs potentiels d’être victimes de tels pièges flagrants de typosquattage.
Sous le Politique uniforme de règlement des litiges relatifs aux noms de domaine (UDRP), les titulaires de marques peuvent déposer des réclamations pour typosquattage auprès de la Organisation mondiale de la propriété intellectuelle (OMPI). Le plaignant peut prendre le contrôle d’un nom de domaine contesté, mais doit d’abord prouver que le nom de domaine enregistré est identique ou « semblable à confusion » à sa marque, que le titulaire n’a aucun intérêt légitime dans le nom de domaine et que le nom de domaine est étant utilisé dans mauvaise foi.
Tout le monde fait des typ0s de temps en temps, c’est pourquoi c’est une bonne idée d’éviter de naviguer directement sur les sites Web que vous fréquentez. Au lieu de cela, mettez en signet les sites que vous visitez le plus, en particulier ceux qui stockent vos informations personnelles et financières, ou qui nécessitent une connexion pour y accéder.
Oh, et si votre logiciel de sécurité ou antivirus vous permet de bloquer tous les sites Web dans un domaine de premier niveau donné, ce n’est peut-être pas une mauvaise idée de bloquer tout ce qui sort de point-cm (le domaine national de premier niveau pour le Cameroun) : Un rapport publié en décembre 2009 par McAfee ont constaté que .cm était le domaine le plus risqué au monde, avec 36,7 % des sites présentant un risque de sécurité pour les PC.