Si vous possédez un nom de domaine qui reçoit un trafic décent et que vous ne payez pas ses frais de renouvellement annuels, il y a de fortes chances que cette erreur soit coûteuse pour vous et pour les autres. Dernièrement, des domaines négligés ont été récupérés par des escrocs qui les utilisent pour créer de faux sites de commerce électronique qui volent les détails de la carte de crédit des acheteurs imprudents.
Depuis près de 10 ans, résident de Portland, Oregon Julie Randal a posté des photos pour son entreprise de photographie à julierandallphoto-dot-com, et utilisé une adresse e-mail de ce domaine pour communiquer avec les clients. Le domaine était en renouvellement automatique pendant la majeure partie de cette période, mais un changement dans les détails de sa carte de crédit l’a obligée à mettre à jour ses enregistrements auprès du registraire de domaine – une tâche que Randall dit qu’elle regrette maintenant d’avoir reportée.
Julierandallphoto-dot-com est maintenant l’un des centaines de faux sites de commerce électronique mis en place pour voler les détails de la carte de crédit.
En effet, en juin de cette année, le domaine a expiré et le contrôle de son site a été confié à quelqu’un qui l’a acheté peu de temps après. Randall a déclaré qu’elle ne l’avait pas remarqué à l’époque, car elle était en train de changer de carrière, n’avait aucun client actif en photographie et avait perdu l’habitude de consulter ce compte de messagerie.
Randall a déclaré qu’elle n’avait réalisé qu’elle avait perdu son domaine qu’après avoir échoué à plusieurs reprises à se connecter à elle Instagram compte, qui a été enregistré à une adresse e-mail sur julierandallphoto-dot-com.
« Lorsque j’ai essayé de réinitialiser le mot de passe du compte via la procédure d’Instagram, j’ai pu voir que l’adresse e-mail du compte avait été remplacée par un e-mail .ru », a déclaré Randall à BreachTrace. “Je n’y ai toujours pas accès car je n’ai pas accès au compte de messagerie lié à mon ancien domaine. J’ai un peu l’impression que les dix dernières années de ma vie m’ont en quelque sorte été enlevées.
Visitez julierandallphoto.com aujourd’hui et vous verrez un site en espagnol vendant Reebok chaussures (capture d’écran ci-dessus). Le site ressemble assurément à une véritable boutique e-commerce ; il contient de nombreuses pages de produits et images, et bien sûr un panier. Mais le site est visiblement dépourvu de tout certificat SSL (l’intégralité du site est http://, pas https://), et les produits en vente sont tous annoncés pour environ la moitié de leur coût normal.
Un examen des domaines voisins qui résident sur des adresses Internet adjacentes à julierandallphoto-dot-com (196.196.152/153.xetc.) montre des centaines d’autres domaines qui ont apparemment été enregistrés à leur expiration au cours des derniers mois et qui proposent désormais des boutiques en ligne similaires uniquement sur http dans différentes langues, proposant des chaussures de marque et d’autres vêtements à bas prix.
Jusqu’au début de cette année, wildcatgroomers-point-com appartenait à une entreprise du Wisconsin qui vendait de l’équipement pour l’entretien des sentiers de motoneige. Il fait maintenant de la publicité pour des chaussures de course. Également, kavanaghsirishpub-dot-com correspondait à un pub et un restaurant dans le Tennessee jusqu’à la mi-2018 ; maintenant il fait semblant de vendre à bas prix Nike Les chaussures.
Alors qu’est-ce qui se passe ici?
Selon un rapport approfondi publié conjointement aujourd’hui par des sociétés de sécurité Point de rupture et RiskIQles sites sont presque certainement configurés simplement pour siphonner les données de carte de paiement des acheteurs imprudents à la recherche de chaussures de créateurs spécifiques et d’autres vêtements à des prix avantageux.
« Nous avons observé plus de 800 sites hébergeant ces magasins d’usurpation d’identité/d’écrémage de marque depuis juin 2018 », note le rapport.
« La stratégie de ce groupe semble plutôt simple : les auteurs ont créé un grand nombre de magasins se faisant passer pour autant de marques populaires que possible et dirigent le trafic vers ces faux magasins avec une variété de méthodes », poursuit le rapport. « Certains visiteurs tenteront de faire des achats, en saisissant leurs informations de paiement dans le formulaire de paiement où l’écumeur les copie et les envoie à un serveur de dépôt. La page de paiement affiche même des badges de diverses sociétés de sécurité afin de paraître plus légitimes. »
Le rapport suit le travail de Magecart — le nom donné à un collectif d’au moins sept groupes cybercriminels impliqués dans le piratage de sites Web pour voler des données de cartes de paiement. Le 4 novembre, BreachTrace a publié Qui est dans votre panier d’achat en ligne ?, qui a examiné un réseau de sites piratés qui correspondent au profil Magecart.
Les données de carte de crédit volées par ces différents groupes Magecart sont invariablement mises en vente dans des boutiques de cybercriminalité en ligne, ont découvert les sociétés de sécurité. De plus, certains acteurs de Magecart vendront l’accès à des boutiques en ligne piratées, permettant aux escrocs qui achètent cet accès de recevoir un flux en direct des détails de carte de paiement fraîchement volés aussi longtemps que le site reste compromis.
Flashpoint et RiskIQ affirment avoir travaillé avec deux autres organisations anti-abus non commerciales, Abuse.ch et Shadowserver pour « gouffre » ou assumer tranquillement le contrôle des domaines piratés qui sont utilisés pour les activités de Magecart. Ces deux dernières organisations fournissent des rapports automatisés aux organisations concernées. Toute personne responsable de la gestion d’une plage d’adresses Internet peut inscrivez-vous sur Shadowserver.org pour que ces plages soient surveillées pour les domaines compromis par les outils Magecart.
En attendant, comme le montre l’expérience de Julie Randall, il est avantageux de rester au courant de tous les enregistrements de domaine que vous pourriez avoir. Abandonner un nom de domaine de longue date – en particulier un nom lié à votre nom – est toujours une décision difficile, car vous ne savez tout simplement jamais à quoi il servira lorsqu’il tombera entre les mains de quelqu’un d’autre.
Si vous ne savez pas s’il faut renouveler un domaine et qu’il s’agit de l’un des nombreux que vous possédez, il peut être judicieux de le conserver et de simplement transférer tout trafic entrant vers un domaine que vous souhaitez que les gens visitent. Dans le cas où vous décidez de renoncer à un domaine, assurez-vous de faire le point sur tous les comptes en ligne que vous avez créés avec des adresses e-mail liées à ce domaine et de les déplacer vers une autre adresse e-mail, car ces comptes seront probablement sous le contrôle de quelqu’un d’autre lorsque le domaine expirera. .