Cywise   CYWISE
retour au blog

Les dernières nouvelles des cyber-arnaques

Les dernières nouvelles des cyber-arnaques

Le musée d’Orsay et le parc Astérix ont été victimes de la vente de faux billets d'entrée au cours de ce mois de janvier. Le musée à même dû, vendredi dernier, fermer sa billetterie pendant quelques heures afin de cesser l’hémorragie.

Mais comment cela s’est passé ?

C’est la fraude au site miroir ou plus précisément au typosquatting, également appelé détournement  d'URL. Le principe est simple, des personnes achètent des noms de domaines (l'adresse que l'on tape dans le navigateur pour accéder à un site) qui sont similaires à ceux qu'ils ciblent : souvent des sites ayant quelque chose à vendre.

C’est  une  forme  de cybersquattage qui repose sur le fait qu'il n'est pas trivial de différencier un site légitime d'un site frauduleux juste en le visualisant, d'autant plus si l'adresse de ce dernier semble légitime et que le site est en HTTPS (le fameux cadenas qui garantit la confidentialité des échanges avec le site).
Concrètement un attaquant pourrait acheter les site billetterie-site.com, billetterie.site.co ou encore tickets-site.com alors que le vrai site est billetterie.site.com. Il ne lui reste alors qu'à "recopier" le design du site qu'il souhaite usurper et le tour est joué. Certains attaquants vont même jusqu'à payer des campagnes de publicités (réseaux sociaux, optimisation pour les moteurs de recherche, campagne de mailing, etc.) afin d'apparaître de manière "légitime" dans les résultats de recherche ou d'en votre manière d'acheter.

Une fois sur le site du typosquatteur, l'utilisateur pensera qu'il se trouve sur le site réel grâce à l'utilisation de logos, de mises en page ou de contenus copiés ou similaires. Les motivations des typosquatteurs peuvent varier, allant de la vente du domaine contenant les fautes de frappe au propriétaire de la marque (si tu ne me l’achètes pas je continue de… c’est du chantage), à la monétisation du domaine par des revenus publicitaires, en passant par la redirection du trafic vers un concurrent, l'installation de logiciels malveillants pour vous prendre identifiant et mot de passe, ou la vente de faux billets.

Nous ne pouvons que vous encourager à vérifier attentivement que l'URL du site soit la bonne avant d'entamer tout achat en ligne. Pour s'en assurer, il est possible de comparer le nom de domaine avec celui qui ressort lors d'une recherche d'une entreprise ou d'une marque sur un moteur de recherche. Privilégiez également de vous rendre sur un site via un moteur de recherches sécurisées et de ne pas cliquer sur des liens sponsorisés ou apparaissant dans des spams.

Voici quelques exemples d'attaques de typosquatting:

  • Des domaines tels que "bankofamerrica.com" ou "wellsfarg0.com" ont été utilisés pour imiter des sites bancaires légitimes comme "bankofamerica.com" ou "wellsfargo.com". Ces sites frauduleux avaient pour objectif de dérober les informations bancaires des utilisateurs. On peut le faire avec n'importe quelle banque.
  • De même, des domaines comme "netfflix.com" ou "netflixx.com" ont été enregistrés pour usurper l'identité du site "netflix.com". Les utilisateurs étaient redirigés vers des sites de phishing conçus pour voler leurs identifiants de connexion.

Pour l’entreprise victime, la détection de ce genre de site frauduleux est très complexe. En effet les combinaisons de lettres, chiffres, et autres caractères sont telles qu’on ne peut pas toutes les surveiller.

Cywise a mise au point une solution intelligente qui va simuler une liste de sites potentiellement dangereux pour une entreprise et détecter si ces derniers existent. Mais même si nous pouvons couvrir 80% des combinaisons, il reste encore 20% de risques et c’est encore beaucoup. Mais nous y travaillons.