Une vaste campagne d’usurpation d’identité de marque ciblant plus d’une centaine de marques populaires de vêtements, de chaussures et de vêtements est en cours depuis juin 2022, incitant les gens à saisir leurs identifiants de compte et leurs informations financières sur de faux sites Web.
Les marques usurpées par les faux sites incluent Nike, Puma, Asics, Vans, Adidas, Columbia, Superdry Converse, Casio, Timberland, Salomon, Crocs, Sketchers, The North Face, UGG, Guess, Caterpillar, New Balance, Fila, Doc Martens , Reebok, Tommy Hilfiger et d’autres.
Selon l’équipe de recherche sur les menaces de Bolster, qui a découvert la campagne, elle s’appuie sur au moins 3 000 domaines et environ 6 000 sites, y compris des sites inactifs.
Bolster rapporte que la campagne a connu un pic d’activité important entre janvier et février 2023, ajoutant 300 nouveaux faux sites par mois.
Les noms de domaine suivent un modèle d’utilisation du nom de marque avec une ville ou un pays, suivi d’un TLD générique tel que « .com ».
Les chercheurs affirment que la campagne a exploité plus de dix faux sites Web pour Nike, Puma et Clarks, présentant un design très similaire aux sites officiels des marques.
Ces domaines frauduleux ont été retracés jusqu’au numéro de système autonome AS48950 et ont été hébergés par deux fournisseurs de services Internet, Packet Exchange Limited et Global Colocation Limited.
La plupart sont enregistrés via Alibaba.com Singapour, et l’âge du domaine varie entre deux ans et 90 jours.
Le vieillissement de domaine est un facteur crucial dans les opérations de phishing, car plus un domaine reste actif mais reste inoffensif, moins il est susceptible d’être signalé par les outils de sécurité comme suspect.
Laisser un domaine vieillir pendant au moins deux ans est quelque chose que Confiant a rapporté l’année dernière, observant la tactique dans une campagne mondiale de malvertising qui l’utilise avec succès depuis 2018.
Dans la campagne découverte par Bolster, de nombreux domaines malveillants ont survécu si longtemps sans être signalés que Google Search les a indexés et sont désormais susceptibles d’être bien classés pour des termes de recherche spécifiques.
Il s’agit d’une stratégie particulièrement efficace pour inciter les utilisateurs peu méfiants à visiter un site de phishing, car la plupart des gens associent un classement élevé dans la recherche Google à la crédibilité et à la fiabilité.
Breachtrace a parcouru les pages de certains de ces sites et a constaté qu’il ne s’agissait pas de clones construits à la hâte, car ils présentent des pages réalistes « À propos de nous », incluent les coordonnées, les pages de commande fonctionnent comme prévu et sont généralement difficiles à identifier comme suspectes.
La stratégie d’escroquerie exacte suivie dans cette campagne est inconnue, mais Bolster suggère que les sites n’expédient jamais les produits pour lesquels les clients paient ou expédient des contrefaçons chinoises.
De plus, tous les détails saisis sur les pages de paiement, notamment les détails de la carte de crédit, peuvent être stockés par les opérateurs du site Web et revendus à des cybercriminels.
Lorsque vous recherchez le site Web officiel d’une marque, ignorez tous les résultats promus sur la recherche Google. Si vous n’êtes toujours pas sûr, consultez la page Wikipédia de la marque ou les canaux de médias sociaux pour l’URL légitime.