[ad_1]

Un article publié ici la semaine dernière a mis en garde les lecteurs contre un vaste réseau de sites Web potentiellement malveillants se terminant par « .cm » qui imitent certaines des destinations Internet les plus populaires au monde (par exemple ESPN[dot]cm, aol[dot]cm et iTunes[dot].cm) dans le but de bombarder les visiteurs avec de fausses alertes de sécurité qui peuvent verrouiller son ordinateur. S’il manquait un détail clé à cet article, c’était un aperçu du nombre de personnes qui tapaient mal .com et se retrouvaient dans l’un de ces soi-disant « typosquattage » domaines.

Le 30 mars, un lecteur aux yeux d’aigle a noté que quatre ans de journaux d’accès pour l’ensemble du réseau de plus de 1 000 domaines de typosquattage point-cm étaient disponibles en téléchargement directement auprès du propre fournisseur d’hébergement du réseau de typosquattage. Les journaux – qui incluent des enregistrements détaillés du nombre de personnes ayant visité les sites au cours des trois dernières années et d’où – ont été supprimés peu de temps après la publication de ce commentaire ici, mais pas avant que BreachTrace n’ait réussi à récupérer une copie de l’intégralité des archives pour analyse.

La répartition géographique de 25 000 adresses Internet (adresses IP) sélectionnées au hasard dans les journaux d’accès aux domaines de typosquattage point-cm en février 2018. Batchgeo, le service utilisé pour produire ce graphique, limite les recherches gratuites à 25 000, mais l’image ci-dessus est probablement encore représentatif de la répartition géographique globale. Sans surprise, la plus grande part du trafic provient des États-Unis.

Matthieu Chambresun expert en sécurité avec qui cet auteur a travaillé sur l’histoire originale de typosquatting point-cm publiée la semaine dernière, a analysé les journaux d’accès des trois derniers mois et a découvert que les sites avaient été visités environ 12 millions de fois au cours du premier trimestre de 2018.

Chambers a déclaré qu’il avait passé au peigne fin les journaux et éliminé les résultats des adresses Internet qui semblaient être des bots ou des grattoirs de moteurs de recherche. Voici l’analyse par Chambers des données du journal d’accès de 2018 :

janvier 2018 ; 3 732 488 visiteurs
Février 2018 : 3 799 109 visiteurs
Mars 2018 : 4 275 998 visiteurs

Total janvier-mars 2018 est 11,8 millions

Ces chiffres suggèrent que le nombre total de visites sur ces sites de typosquatting au cours du premier trimestre de 2018 était d’environ 12 millions, soit près de 50 millions de visites par an. Certes, tous les visiteurs de ces sites n’auront pas l’expérience rapportée par les utilisateurs de Chambers (être bombardé d’alertes de logiciels malveillants trompeuses et redirigé vers des sites Web frauduleux et spammés), mais il semble clair que ce réseau pourrait rapporter à ses opérateurs un joli sou quel que soit le contenu. qui finit par être servi à travers elle.

Jusqu’à très récemment, les journaux d’accès au site de ce réseau de plus de 1 000 sites de typosquattage point-cm étaient disponibles sur le même serveur hébergeant le réseau.

Chambers a également interprété «DNS inversé” recherches sur les adresses IP répertoriées dans les différents journaux d’accès point-cm pour le mois de février 2018. Il convient de noter ici que de nombreux domaines de typosquattage point-cm (.cm) de ce réseau (PDF) tentent de détourner le trafic loin des sites pornographiques extrêmement populaires (par exemple, pornhub[dot]cm).

« J’ai plongé dans les données jusqu’à présent et j’ai trouvé des visiteurs intéressants », a déclaré Chambers. « Je les ai extraites lorsqu’il était facile d’observer qu’une agence particulière possédait une large gamme d’adresses IP. »

Chambers a interrogé les journaux de 2018 pour tout accès provenant de sites .gov ou .mil. Voici ce qu’il a trouvé :

-Administration nationale de l’aéronautique et de l’espace (JSC, GSFC, JPL, NDC) : Accédé à l’un des sites de typosquattage .cm 104 fois en février, dont 16 sites pornographiques.
département de la Justice (80 fois) [7 porn sites]

Chambre des représentants des États-Unis (47 fois) [17 porn sites]

Agence centrale de renseignement (6 fois)
Armée des États-Unis (29 fois)
Marine des États-Unis (25 fois)
Agence de Protection de l’Environnement (15 fois)
Système judiciaire de l’État de New York (4 fois)

D’autres agences fédérales avec des victimes de typosquatting visitant ces domaines incluent :

Agence des systèmes d’information de la défense (DISA)
Laboratoires nationaux Sandia
Administration nationale des océans et de l’atmosphère (NOAA)
département de l’agriculture des Etats-Unis
Laboratoire de Berkeley
Laboratoire du nord-ouest du Pacifique

L’histoire de la semaine dernière indiquait que tout ce réseau semblait être loué par une société de marketing en ligne basée au Colorado, appelée Media Breakaway. Cette société est dirigée par Scott Richterun criminel reconnu coupable et autrefois « roi du spam » autoproclamé, qui a été poursuivi avec succès pour spam par Microsoft, Mon espace et le procureur général de New York. Ni Richter ni personne d’autre chez Media Breakaway n’a répondu aux demandes de commentaires.

Si vous avez l’habitude de naviguer directement sur des sites Web (c’est-à-dire en tapant le nom du site dans la barre d’adresse d’un navigateur Web), envisagez de vous sevrer de cette pratique risquée. Comme le montrent ces sites de typosquatting omniprésents, c’est une bonne idée d’éviter de naviguer directement sur les sites Web que vous fréquentez. Au lieu de cela, mettez en signet les sites que vous visitez le plus, en particulier ceux qui stockent vos informations personnelles et financières, ou qui nécessitent une connexion pour y accéder.

Mise à jour, 5 avril, 8 h 05 HE : Une version antérieure de cette histoire incluait des chiffres qui ne correspondaient pas tout à fait à près de 12 millions de visites. C’est parce que Chambers m’a envoyé plusieurs ensembles de chiffres alors qu’il affinait ses recherches, et j’ai utilisé par inadvertance les chiffres d’un premier e-mail qu’il a partagé avec BreachTrace. Les chiffres mensuels ci-dessus ont été ajustés pour refléter cela.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *