Le rapport Proofpoint sur la fraude au nom de domaine révèle des millions de nouveaux domaines frauduleux
juin 2019 par Proofpoint, Inc.
Proofpoint, Inc. publie son rapport 2019 sur la fraude au nom de domaine, qui dévoile les dernières tendances, les stratégies et les activités des cybercriminels. Le rapport fournit une analyse approfondie des données collectées sur une période de douze mois dans la base de données de domaines actifs de Proofpoint, qui contient plus de 350 millions de domaines et représente pratiquement tous les domaines sur le Web.
« À l’instar de nombreuses autres méthodes d’attaque très populaires aujourd’hui, la fraude au nom de domaine cible des individus plutôt que des infrastructures en faisant appel à l’ingénierie sociale pour amener les utilisateurs à croire que les domaines auxquels ils accèdent sont légitimes », a déclaré Ali Mesdaq, directeur Digital Risk Engineering chez Proofpoint. « Du fait du peu d’obstacles à l’enregistrement des noms de domaine et de la facilité d’exécution, il est essentiel que les sociétés restent vigilantes face aux domaines suspects et illégaux susceptibles de présenter un risque pour leur marque et leurs clients. »
Entre le 1er trimestre et le 4ème trimestre 2018, le nombre d’enregistrements de noms de domaines frauduleux a connu une hausse de 11%. Presque tous les domaines frauduleux détectés par Proofpoint restent actifs et prêts à l’attaque, plus de 90% d’entre eux étant associés à un serveur actif. Parmi ces domaines frauduleux, plus de 15% ont des enregistrements Mail Exchanger (MX), ce qui signifie qu’ils envoient et/ou reçoivent des e-mails. Un sur quatre dispose également de certificats de sécurité, c’est bien plus que ce que l’on peut observer dans le paysage global des domaines. Or, de nombreux internautes les assimilent de ce fait à tort comme des domaines légitimes et sûrs.
Les domaines frauduleux utilisent souvent les mêmes domaines de premier niveau (TLD), offices d’enregistrement et serveurs Web que les domaines légitimes afin d’imiter les marques et abuser les utilisateurs. Ces facteurs, ainsi que la forte proportion de serveurs Web actifs, qui sont nombreux à posséder des certificats SSL valides, renforcent la perception de légitimité des domaines frauduleux, augmentant ainsi le potentiel de nombreuses attaques, notamment les fraudes par virement électronique, le phishing, les ventes de produits de contrefaçon et autres escroqueries.
Les principales conclusions du rapport 2019 sur la fraude au nom de domaine sont les suivantes :
• Plus de 85% des grandes marques de vente au détail ont identifié des domaines vendant des versions contrefaites de leurs produits. Les marques de vente au détail en décomptent en moyenne plus de 200. D’ailleurs, les domaines vendant des produits de contrefaçon possèdent plus de certificats de sécurité que d’autres types de domaines frauduleux, ce qui les rend légitimes aux yeux des clients.
• 96% des sociétés ont trouvé des correspondances exactes de leur domaine avec un TLD différent (par exemple, « .net » au lieu de « .com ») et 76% ont identifié des domaines « similaires » se faisant passer pour leur marque. La plupart des secteurs et des zones géographiques sont touchés.
• Les domaines frauduleux utilisent l’e-mail pour mieux cibler les attaques. Pour 94% des sociétés observées, Proofpoint a identifié au moins un domaine frauduleux se faisant passer pour leur marque et envoyant des e-mails. De nombreux domaines frauduleux ont envoyé de faibles volumes d’e-mails, un comportement typiquement associé à des attaques hautement ciblées et basées sur l’ingénierie sociale. Les cybercriminels se faisant passer pour des marques de vente au détail facilement reconnaissables (en particulier celles ayant des chaînes d’approvisionnement complexes) ont envoyé des volumes d’e-mail beaucoup plus importants, ce qui laisse suggérer des attaques plus généralisées contre les clients et les partenaires.
• Des facteurs comme l’introduction de nouveaux TLD créent des opportunités pour les cybercriminels. En 2018, l’introduction de nouveaux TLD, tels que .app et .icu,, a créé de nouvelles opportunités pour l’enregistrement de domaines frauduleux. Proofpoint a constaté que les cybercriminels exploitaient ces nouveaux TLD pour enregistrer des noms ressemblant à des domaines « .com » qui appartiennent déjà à de grandes marques.
Pour identifier le cybersquattage et les campagnes de phishing afin de les empêcher de cibler les marques, les clients et les collaborateurs, les sociétés du monde entier font confiance à Proofpoint Digital Risk Protection pour protéger leurs domaines. S’appuyant sur l’apprentissage automatique et l’intelligence artificielle, Digital Risk Protection analyse un vaste ensemble de données de domaines afin de détecter les fraudes au nom de domaine et les domaines illégaux. Des alertes en temps réel informent également les marques au sujet de l’expiration des domaines et des certificats SSL afin de préserver la sécurité des domaines appartenant à la marque.