Toute l'actualité des noms de domaine et nouveaux gTLDs

Archives de mots clés: phishing

Les protocoles sécurisés débusquent les sites malveillants

A l’automne 2008, les laboratoires de McAfee Avert ont identifié plus de quatre vingt mille noms de domaines typosquattés*, en s’intéressant aux deux mille sites les plus populaires. Une équipe de chercheurs de l’université d’Irvine (Californie) se propose de résoudre le problème en identifiant la légitimité d’un site à partir des protocoles de transfert sécurisés. Les auteurs ont comparé les protocoles TLS (anciennement SSL) utilisés par les sites officiels et ceux des services frauduleux. Résultat : il existe des différences notables entre les deux qui permettent de les distinguer. 

 

Un outil pour identifier les sites frauduleux

Ils ont repéré que l’utilisation de certificats copiés depuis un site ayant pignon sur rue est fréquente chez les sites frauduleux. L’objectif étant de mettre en confiance le visiteur en affichant un symbole de sécurité familier en bas de page. Il n’est cependant pas possible de ne se reposer que sur ce seul critère, certains sites officiels faisant preuve de laxisme quand à l’utilisation ou à la mise à jour de leurs certificats. L’autre moyen de les distinguer est alors tout simplement de mettre de côté les sites qui n’ont pas recours à des protocoles de transfert sécurisés. Selon les auteurs, seuls 30 % des sites frauduleux y ont recours.

 

Une pratique qui coûte cher

Mais ce chiffre est en constante augmentation : pour rassurer les visiteurs qu’ils espèrent berner, les sites frauduleux sont obligés de les adopter à leur tour. Les typosquatteurs parient sur la probabilité qu’un internaute fasse une faute de frappe ou d’orthographe en rentrant le nom d’un site web dans son navigateur. Pour des sites très visités cela peut représenter un trafic important. La plupart du temps inoffensif, il arrive cependant que le typosquatting soit combiné avec des techniques d’hameçonnage. En se faisant passer pour l’institution dont elles imitent le nom de domaine, les possesseurs du site peuvent récupérer des informations sensibles. Les auteurs affirment qu’en 2007 3 milliards de dollars ont été perdus suite à des attaques de ce type.

* Le typosquattage est l’utilisation à des fins frauduleuses d’un nom de domaine proche de celui d’une marque ou d’une institution connue. C’est une activité illégale dans certains pays.

 

source Atelier.fr

Le .info a fait des efforts

Afilias, registre du .INFO, a manifestement vécu comme un choc traumatique le fait de voir le .INFO
cité parmi les extensions « les plus dangereuses de la planète » en 2008. Depuis un an, la société ne ménage
aucun effort pour s’associer à des initiatives destinées à lutter contre le phishing ou le spamming. Des efforts
payants, à tous les sens du terme, puisque le rapport 2009 de l’APWG indique qu’au cours du second semestre
2008 le « taux de dangerosité » du .INFO aurait été le plus faible de toutes les extensions génériques.

Le meilleur moyen de pirater quelqu’un ? Prétendre que vous êtes Facebook

Websense révèle les résultats des recherches conduites par ses laboratoires de sécurité, les Websense Security Labs. Il en ressort une tendance croissante au clonage de noms de domaines, avec en perspective pour les cybercriminels de cibler un nombre très importants d’utilisateurs des réseaux sociaux, et en particulier les habitués de Facebook, MySpace et Twitter.

Les cybercriminels utilisent de plus en plus des noms de domaine comportant des termes comme Facebook, MySpace et Twitter, sans aucun lien avec les sites réels. Ils cherchent ainsi par la ruse à mener des internautes peu méfiants à visiter des sites Web leurres et les inciter à fournir des informations confidentielles ou à télécharger un logiciel malveillant. Les laboratoires de recherche Websense indiquent qu’un échantillon d’analyse provenant de sa base de données d’URLs présente plus de 200 000 sites fictifs clonant des sites réels ont été développés, et dont les URLs contiennent toutes le terme Facebook, MySpace ou Twitter.

Les exemples suivants s’inspirent de noms de site découverts : unblock.facebookproxy.com, buy.viagra.twitter.1234.com ou hotbabesofmyspace999.com (attention, il s’agit simplement d’exemples de noms de site similaires à ceux que les chercheurs ont découverts).

Lire la suite sur ITRManager.com

Facebook à nouveau frappé par une attaque de phishing

Une attaque maladroite du point de vue de l’orthographe et de la grammaire essaie de convaincre les membres de Facebook. Il s’agit de leur dérober leurs login/password.

Jeudi 14 mai, des e-mails malveillants ont été envoyés à quelques uns des 200 millions adhérents du site de réseautage social FaceBook.

L’attaque, contre laquelle lutte activement Facebook, demandait aux membres de sortir de Facebook et d’accéder à des sites externes afin de leur dérober leurs noms d’utilisateur et mots de passe.

Les emails malveillants étaient de pauvre qualité : une mauvaise grammaire, fautes d’orthographe, et une proposition de visite d’un site externe dont le nom de domaine est www.151.im, www.121.im ou www.123.im (Rendez vous service : ne cliquez pas sur ces liens).

Une fois sur place, les utilisateurs sont invités à se reconnecter avec leurs identifiants et mots de passe Facebook, et boom – soudain, cette information devient un moyen pour envoyer des spams.

Comme les attaques de phishing sur Facebook du mois dernier et en début de ce mois, ces efforts ne semblent destiner qu’à voler les noms d’utilisateur et les mots de passe, et non infecter les ordinateurs avec des virus. Avec mots de passe, les « hameçonneurs » tentent d’accéder à des services de courrier Web, car beaucoup de gens utilisent les mêmes informations de connexion pour des sites différents. Le vol d’identité peut démarrer à partir de là.

Un porte-parole de Facebook a déclaré au New York Times, que Facebook bloquait les liens vers de nouveaux sites de phishing, nettoyer les faux messages, et réinitialiser les mots de passe des utilisateurs touchés. Le nombre de personnes touchées est indéterminé.

Il existe de nombreuses façons de protéger son identité sur Facebook, y compris changer ses mots de passe, modifier les paramètres de confidentialité et de garder un oeil sur le nom de domaine. Enfin, si vos amis instruits commencent à écrire comme des enfants du primaire, il y a probablement quelque chose qui se passe.

auteur : IDG News Service
source Reseaux-Telecoms.com

XMCO : Des pirates utilisent une faille dans le registrar DNS .ma pour nuire à Google

Des pirates ont réussi à avoir accès à la base de données du registrar de nom de domaine « .ma ». Un registrar permet de gérer la réservation de noms de domaine Internet associant une adresse IP à un nom de domaine.

L’origine de l’intrusion provient d’une faille de type injection SQL au niveau du site web du registar marocain. Les pirates ont alors modifié la base de données de manière à rediriger le site google.co.ma vers un site de leur choix [1].

Ce n’est pas la première fois que ce type d’attaque a lieu [2]. Les pirates s’attaquent désormais aux registrars DNS afin de prendre le contrôle du nom de domaine. Des banques comme HSBC ont déjà été victime de ce type d’attaque, les pirates avaient mis en place un faux site permettant de récupérer des identifiants bancaires.

A l’heure actuelle, les correspondances « adresse IP / nom de domaine » ont été rectifiées. La faille de sécurité semble être corrigée.

source GlobalSecurityMag.fr

DNS.be désactive 162 noms de domaine pour lutter contre le phishing

Le phising est un fléau. Il s’agit essentiellement d’attirer les utilisateurs vers des faux sites (en général un faux site d’une banque qui ressemble comme deux gouttes d’eau au vrai), afin d’obtenir les données d’identification.L’escroc n’a plus, ensuite, qu’à se rendre sur le vrai site pour y soutirer de l’argent, à moins qu’il préfère revendre les données subtilisées.

DNS BE, l’organisme officiel qui gère la zone des domaines .be, a, sur ordre du magistrat compétent, désactivé plus de 160 noms de domaine .be, qui étaient utilisés à des fins frauduleuses.

DNS BE avait reçu des informations concernant l’utilisation de noms de domaine .be dans des réseaux ‘fast flux’ qui renvoyaient à des sites ‘phishing’.

Le phishing (ou ‘hameçonnage’) est pratiqué par des escrocs de l’Internet pour attirer les utilisateurs vers de fausses pages web (généralement celle d’une banque) où ils essayent ensuite de leur soutirer des données confidentielles (telles que mot de passe, mot clé…). La majorité des utilisateurs n’en aura rien remarqué, ni subi d’inconvénient, étant donné que la plupart des navigateurs bloquent immédiatement ce genre de pages frauduleuses.

La technique ‘fast flux’ pratiquée par ces criminels du net consiste à changer continuellement les serveurs connectés au nom de domaine en question, de façon à garder la page frauduleuse en ligne le plus longtemps possible.

DNS BE a cependant soupçonné, vu le nombre des noms de domaine .be concernés, qu’il’s’agissait ici d’une tentative d’escroquerie organisée professionnellement, pouvant avoir des conséquences néfastes pour toute la zone des noms de domaine .be.

Le succès du résultat obtenu est le fruit d’une collaboration étroite entre DNS BE d’une part et le Federal Computer Crime Unit d’autre part. En effet, DNS BE avait immédiatement alerté le Federal Computer Crime Unit et communiqué les noms de domaine concernés. La FCCU a constitué le dossier et a, sur ordre du magistrat compétent, communiqué hier à DNS BE la liste des noms de domaine à éliminer. Le service technique de DNS BE a alors immédiatement engagé la procédure d’annulation pour les 163 noms concernés.

(source : DNS.be)
source droit-technologie.org

DNS bloque 163 noms de domaine

Le gestionnaire des noms de domaine du pays, DNS BE, a été prié de bloquer 163 noms de domaine qui avaient été utilisés à des fins malhonnêtes.

DNS a été informé par plusieurs sources que des noms de domaine .be avaient été utilisés dans ce qu’on appelle des ‘fastflux botnets’. Ces noms de domaines renvoyaient en fait à des sites web de hameçonnage (‘phishing’). ‘Fast flux’ est une technique permettant de modifier en permanence des serveurs associés à un nom de domaine. Il en résulte que la source ne peut plus être que malaisément retrouvée et que les sites web d’hameçonnage demeurent en ligne.

Le fait que des noms de domaine .be soient abusés de manière professionnelle, risque de détériorer l’ensemble de la zone des noms de domaine.be. Selon Belgian Security Bloggers, le nom de domaine .be est, après le chinois .cn, la seule extension régionale à avoir été autant abusée. DNS en a par conséquent informé la Federal Computer Crime Unit (FCCU). « Nous ne pouvons en effet pas bloquer comme cela un nom de domaine de notre propre initiative », déclare Hans Seeuws, porte-parole de DNS. « Nous ne pouvons intervenir que sur ordre du magistrat compétent. »

La FCCU a élaboré immédiatement un dossier et à la demande du magistrat compétent, une liste a été transmise avec les noms de domaine impliqués, qui doivent être bloqués. Peu après, les services techniques de DNS ont annulé en tout 163 noms de domaine .be.

Chez Belgian Security Bloggers, on est très satisfait de cette approche: « C’est la première fois que cela arrive. Il était préférable d’aller vite en besogne. Désormais, DNS contrôlera sans aucun doute mieux ce genre de problématique. »

auteur : Stefan Grommen
source DataNews.be

More Ways to Protect Yourself From Phishing

In my recent Editors’ Notes post on Consumer Reports’ recommendation that Mac users dump Safari because the Apple browser lacks the anti-phishing tools of Firefox and Opera, I focused on behavioral changes one can make that minimize the risks of phishing attempts. I didn’t, however, discuss a relatively simple configuration change you can make to your Mac that will give you a real anti-phishing tool–in Safari or any other browser you might want to use.

Consumer Reports touted Firefox or Opera over Safari because of the built-in anti-phishing tools in those first two browser; Safari has no such built-in capability. There is, however, a free service you can use that will give every browser on your Mac a full set of anti-phishing tools (and additional tools, if you choose to use them). This service is called OpenDNS, and it’s a free replacement for your Internet service provider’s (ISP) domain name servers.

So just what are domain name servers? A domain name server looks up addresses in the Domain Name System (DNS). In other words, a domain name server is the phone book for the Internet–it translates domain names (www.macworld.com, for example) into Internet protocol (IP) addresses (70.42.185.230, in the case of macworld.com). When you load a Web site, it’s this IP address that’s used to find the server, not the server’s name you typed into the URL bar. Without the DNS, you’d have to know the IP address of any Web site you wanted to use–not a very practical method for browsing the Web.

By default, you are more than likely using the DNS servers provided by your ISP. These are typically included in the setup instructions you used when setting up your Internet connection. But just as there are many companies providing telephone books, there are many different DNS servers you can use–you aren’t required to use the DNS servers provided by your ISP. OpenDNS is one such alternative « phone book, » and it’s one that comes with many features (most are optional) that you probably won’t find in your ISP’s DNS servers. One of those features is phishing protection, based on OpenDNS’ PhishTank project. Once you’ve set your Mac to use OpenDNS’ DNS servers, you get this protection automatically, in any application that uses DNS servers to resolve names.

Note that OpenDNS is able to provide its services for free because it changes how your browser behaves when you enter a non-existent URL, say for asdfjklasjxznn.com. If you enter that URL using your normal DNS servers, you’ll get a standard « page not found » error message. If you load that URL using OpenDNS, however, you’ll see the image at right (click the image for a larger version). The ads you see there are what help OpenDNS pay for its services. If the prospect of seeing such ads when you enter a bad URL concerns you, then you’ll want to pass on this solution. For me, though, it’s a small price to pay for an excellent free service.

Setting up OpenDNS

So how do you use OpenDNS in place of your ISP’s DNS servers? The answer depends on which version of OS X you’re using, how you connect to the Internet, and how your current DNS server information has been set. Answering this question for every version of OS X and every possible network configuration simply isn’t possible in this space. Instead, I’ll provide some generic configuration advice, a specific example, and a pointer to OpenDNS’ own very usable installation instructions.

First, the generic advice: To replace your ISP’s DNS servers with the OpenDNS DNS servers, re-read the installation instructions that your ISP provided. When you get to the step about setting up the DNS servers, replace whatever DNS server IP addresses you’ve been provided with the OpenDNS DNS server addresses: 208.67.222.222 and 208.67.220.220. Save your changes, and you’re done.

As one specific example of a configuration change, here’s what you’d do if you’re using OS X 10.5 on a machine that connects to the network via AirPort, but has a locally-assigned DNS server (that is, defined on that Mac). Launch System Preferences and open the Network pane. Select AirPort in the leftmost column, then click Advanced. A new sheet will drop down, displaying a number of tabs across the top. Click on the DNS tab, and then click the plus sign at the bottom left of the DNS Servers window. The cursor will move to a blank line in the DNS Servers window; type the first OpenDNS DNS server address here, 208.67.222.222. Click the plus sign again, and enter the second OpenDNS DNS server address, 208.67.220.220.

If you see any other addresses listed above these new entries, click on each one and then click the minus sign to remove them. (If you see entries that are grayed out, that means that another machine–your AirPort Base Station or other router, for instance–is providing the DNS server information. If that’s the case, you’ll need to change that machine’s DNS server information to point to the OpenDNS DNS servers.) Once you’ve only got the two OpenDNS DNS servers’ information visible, click OK. This will return you to the AirPort screen; once that appears, click Apply to, well, apply the changes you just made.

If you need more specific installation instructions, the OpenDNS’ Web site has a number of how-to guides for many different computers and operating systems, as well as 14 different brands of home routers (including the AirPort Base Station).

Confirm the setting

After clicking Apply, the changes you’ve made should take effect in about a minute or less. To confirm that your system is using the new DNS, the quickest thing to do is open up Terminal (in Applications -) Utilities), and run a quick nslookup, which runs a name system lookup on the URL you specify. Included in the results is the IP address of the name server that was used to run the query:

As seen here, the Server and Address both point to the OpenDNS DNS server addresses I entered earlier, meaning that my machine is using the OpenDNS DNS servers for address lookups.

Conclusion

Changing your DNS servers isn’t very difficult to do, and by using OpenDNS, you’ll get the benefit of an active and constantly-updated anti-phishing tool, regardless of your browser of choice. If you don’t feel you’ll always be able to spot a potential phishing scam in your e-mail, using OpenDNS is a great solution that will allow you to keep using Safari with some peace of mind. (But remember, no anti-phishing tool is going to be 100 percent accurate, so you’ll want to practice « safe clicking » as I described in the prior article, too.)

In the long run, I really think that something like an Internet-wide anti-phishing tool, such as the one offered by OpenDNS, makes more sense than any number of browser-specific tools. With individual tools, your phishing protection will vary based on which browser you’re using; with a DNS-level tool, though, you’ve got the same level of protection regardless of your browser choice. Hopefully we’ll eventually see an Internet-wide solution, so that you’ll have the freedom to use whichever browser you prefer without worrying about the quality (or lack thereof) of its built-in anti-phishing tools. Until that happens, though, OpenDNS is a great alternative.

author: Rob Griffiths, Macworld.com
source WashingtonPost

Les utilisateurs de PayPal sont sérieusement menacés

Les spécialistes de G DATA on détecté une attaque qui cible les utilisateurs de PayPal, le service de transaction financière d’eBay. Des cyber-criminels chinois sont à l’origine de cette extorsion de données (phishing). Ils démontrent beaucoup de minutie et déploient des efforts réels pour se montrer convaincants. Ils ont même créé un faux site web PayPal très ressemblant, déposé un nom de domaine spécifique (paypal-xxxxxxx-xxxxxxx.com) via une fausse entreprise chinoise dont le serveur est hébergé en Australie… Les victimes reçoivent un mail précisant que leur compte PayPal a été suspendu en raison de transactions non autorisées. Pour résoudre le problème, le message demande aux internautes de s’identifier à nouveau. Et les victimes s’identifient sur le faux site Paypal. De plus un Trojan s’installe à l’insu de l’internaute et absorbe d’autres logiciels malveillants. GDATA rappelle à ses utilisateurs que l’actuelle version de sa base de signatures détecte la menace.

source ITRManager

Avec NamebayWatch, Namebay automatise l’analyse des noms de domaines

Avec NamebayWatch, Namebay automatise l’analyse des noms de domaines afin de prévenir les tentatives de contrefaçon ou de détournement.

Monaco, le 03 juin 2008 – Namebay, gestionnaire de noms de domaines à forte valeur ajoutée, dévoile sa nouvelle gamme NamebayWatch, d’outils d’intelligence économique et d’aide à la protection de la propriété intellectuelle et industrielle. NamebayWatch apporte aux entreprises de toutes tailles une visibilité en temps réel sur l’activité de création, d’expiration ou de modifications des noms de domaines, afin de prévenir les tentatives de contrefaçon ou de détournement de la notoriété ou d’y réagir.

Une combinaison unique de technologies

NamebayWatch combine de façon unique les principaux outils techniques de datamining, gestion des DNS et indexation des sites Web. Résultat de plus de 2 ans de R&D, NamebayWatch relie ces informations entre elles pour proposer une solution complète et automatisée de recherche d’antériorité et d’analyse du cyber squatting. NamebayWatch permet notamment aux entreprises d’être informées en temps quasi réel des tentatives de détournement de trafic fondées sur des constructions syntaxiques approchantes ou des différences typographiques, par exemple namebai pour Namebay. La gamme Namebaywatch convient à toute forme de complexité de recherche :
– sur un nom propre ou commun, et ses variantes
– sur une expression contenant ou non un nom propre ou commun avec des qualificatifs quels que soient leur position
– sur un fragment de phrase

Un outil de productivité

La plateforme NamebayWatch permet aussi de réaliser rapidement les enquêtes approfondies indispensables avant la création d’un nouveau nom de domaine à forte valeur commerciale ou pour récolter les informations utiles à une action juridique contre un tiers. La solution répond ainsi aussi bien aux besoins des services juridiques des entreprises qu’à ceux des cabinets de conseil spécialisés dans la protection des marques sur Internet. Véritable outil de productivité, Namebaywatch évite au chargé de l’enquête de collecter et de corréler à la main les informations du Whois, des DNS, du web, de diverses bases de données ainsi que les extensions ccTLDs.

Résultat d’une expertise avancée

Avec NamebayWatch, Namebay confirme sa vocation de gestionnaire de noms de domaine à forte valeur ajoutée. La solution s’appuie sur une expertise technique approfondie de l’interrogation et de l’analyse des données de noms de domaines à l’échelle mondiale. La base de données de la plateforme NamebayWatch analyse régulièrement plus de 120 millions d’enregistrements (plateforme SQL Server 2005 sur Windows 2008 installée sur un serveur Dell R900 quadri-processeurs à quatre coeurs). Registrar acrédité par l’Icann, Namebay s’affirme comme un partenaire technique au service de la performance et de la simplification de la gestion des noms de domaine. Ses solutions permettent aux entreprises d’augmenter leur autonomie et leur productivité dans la gestion de leurs noms de domaines et de protéger efficacement leurs marques contre les tentatives de contrefaçon (cybersquatting, phishing), de détournement de notoriété voire de concurrence.

auteur : Sophie Terrien