Détection de nouveaux noms de domaines impactant sa marque/son entité : détecter les noms de domaines ne suffit pas.
Cedric Pernet
Senior Threat Researcher, author of "Securite et espionnage informatique - connaissance de la menace APT" - ex-Law Enforcement Officer (OPJ) - Does not accept invitations without a message
On le sait, ou du moins certains le savent, surveiller tous les noms de domaines présentant un risque de fraude pour sa marque ou sa société est une tâche complexe et jamais exhaustive à 100%.
On peut détecter les nouveaux enregistrements de domaines ayant un potentiel impactant avec des mots-clefs, et avec des expressions régulières.
Ceci étant dit, l'expérience nous montre que l'ingéniosité et le talent des cybercriminels à trouver des noms de domaine qui sortent de ces surveillances nous font toujours passer à côté de certains domaines. Cela peut durer quelques jours, qui sont malheureusement suffisants pour que la fraude fasse des victimes (phishing notamment).
Il faut continuer à détecter ces domaines bien sûr, mais il ne faut pas se contenter de cela.
En parallèle, il faut aussi regarder un peu ce qui se passe au niveau de l'infrastructure des sites frauduleux, en particulier via les services de DNS passifs.
Afin d'illustrer mon propos, je me suis penché ce matin sur un domaine frauduleux actif "ameli-livraisoncarte(.)com"
L'adresse IP vers laquelle pointe ce domaine est 45.139.104.76 ... Si je regarde quels autres domaines pointent vers cette adresse IP, oh surprise:
Recommandé par LinkedIn
En vrac, de la fraude Ameli, de la fraude aux contraventions, de la fraude aux services de streaming, de la fraude à la livraison.
Certains de ces domaines ne contiennent à priori que des mots génériques, et auraient été difficiles à détecter avec de simples règles de mots clefs.
Voilà comment en 20 secondes on peut pivoter sur un domaine frauduleux et en obtenir d'autres. Cela ne fonctionne pas toujours évidemment, notamment dans les cas où les fraudeurs utilisent une adresse IP mutualisée (et du coup, on aura du boulot pour faire le tri entre les sites légitimes et frauduleux) ou les cas où ils utilisent un site compromis pour héberger leur kit de phishing ou leur malware.
Je n'expliquerai pas ici comment fonctionnent les services de DNS passifs, et je n'en listerai pas, il en existe un certain nombre et je ne veux pas faire de pub. Cela prendrait tout un article. De toute façon, les gens curieux et motivés sauront rapidement acquérir la connaissance nécessaire sur le sujet ;-)
Hasta la vista !
Security Expert | Founder of StalkPhish | Analyst at CERT Santé
3 moisEffectivement, et en y regardant de plus près, tu peux observer que des noms en .plesk.page sont mêlés aux différentes entrées de passive DNS, l'utilisation de serveurs Plesk étant courant dans ce genre d'arnaques. Je ne sais pas à quelle date remonte les premières occurences que tu remontes, perso dans StalkPhish.io je vois utilisée cette IP depuis le 1er mars 2024. Je peux même te dire que ce serveur est utilisé par un groupe nommé Plesk.Hub...