Typosquatting : Attaque par de faux sites malveillants

Le typosquatting ou typosquattage est une forme d’attaque très courantes qui visent à enregistrer de faux sites.
Cela prend la forme de l’enregistrement d’un domaine internet proche d’un existant pour rediriger les internautes vers des sites malveillants ou tout simplement pour monétiser.
Il s’agit donc d’une forme détourné du cybersquatting à des fins malveillantes.

Dans cet article complet, vous trouverez toutes les explications autour du typosquatting comme la définition et comment s’en protéger.

Qu’est-ce que le Typosquatting : Définition

Le typosquattage, ou détournement d’URL (Hijack URL) est une forme de cybersquattage visant les personnes qui, par accident, saisissent mal l’adresse d’un site web directement dans le champ URL de leur navigateur web.
Les cybersquatteurs enregistrent des noms de domaine qui sont une légère variation de la marque cible (généralement une erreur d’orthographe courante).

Quel est l’objectif du typosquatting ?

C’est donc une forme d’attaque d’ingénierie sociale qui cherchent à piéger les internautes.
Le but est est en général d’exploiter les fautes de frappe, les fautes d’orthographe dans la saisie de l’adresse d’un site Web.
Ces derniers ne sont généralement pas conscients qu’ils naviguent, voire qu’ils font des achats, sur un site Web factice. Les propriétaires de sites Web frauduleux pourraient tirer parti de cette usurpation d’identité pour vendre des produits concurrents ou, pire encore, inciter les utilisateurs à violer leurs données personnelles identifiables.

Le terme “typo” dans typosquatting fait référence aux petites erreurs que l’on peut faire en tapant sur un clavier.

Cette technique n’est pas à confondre avec le Combosquatting qui est un petit peu différent : Combosquatting : inciter à faire confiance à des URL malveillants.

Comment fonctionne le typosquattage

Le typosquattage est rendu possible par des fautes de frappe, des erreurs d’orthographe ou des malentendus concernant un nom de domaine populaire. Si un utilisateur fait une erreur en tapant un nom de domaine et ne la remarque pas, il peut se retrouver accidentellement sur un autre site web mis en place par les cybercriminels.

L’un des premiers exemples de cybercriminalité liée au typosquattage remonte à 2006, lorsque Google a été victime de typosquattage par le site Goggle.com, largement considéré comme un site de phishing/fraude.
Les typosquatteurs avaient également des vues sur des URL telles que foogle.com, hoogle.com, boogle.com, yoogle.com, toogle.com et roogle.com en raison de leur proximité physique avec g. Cela peut constituer un risque majeur pour la cybersécurité si votre entreprise reçoit un grand volume de trafic.

Il existe au moins quatre types de typosquattage.

Typo et fautes de frappes ou orthographe

Des adresses web mal saisies de marques connues dans la barre d’adresse, comme “faacebook.com”.
Les fautes d’orthographe : Les domaines mal orthographiés sont très courants. Surtout si le nom de domaine est un mot inventé. Par exemple, “gooogle.com”.

Les utilisateurs peuvent être trompés par l’orthographe abstraite de services, de noms de marque ou de produits. Par exemple, getphotos.com et getfotos.com.

Autre exemple de typosquattage visant tor avec tocproject.com au lieu de torproject.com.

Par exemple, des pirates ont utilisé payce-google.com (au lieu de play-google.com) proposant des APK malveillant.

Voici un autre exemple, avec un ce faux site Notepad++ utilisant le domaine notepads-plus-plus.org au lieu de notepad-plus-plus.org

Domaines à trait d’union/combosquattage

Il s’agit d’omettre ou d’ajouter un trait d’union afin de diriger illégalement le trafic vers un domaine typographique, par exemple facebook.com contre face-book.com.

Vous avez un exemple sur cette page : Le phishing ou hameçonnage et le TypoSquatting

Manipuler les domaines internet et TLD

Mauvaises extensions de domaine : Plus le nombre de noms de domaine de premier niveau (TLD) augmente, plus la probabilité de voir apparaître des sites de typosquattage augmente. Un exemple serait google.co. Une autre erreur courante d’extension de domaine consiste à taper “.com” au lieu de “.org”.

Si des marques connues sont complétées par des mots appropriés, elles peuvent produire un nom de domaine typosquatté à consonance légitime, par exemple apple-shop.com contre apple.com.
Prétendre être un www : wwwfacebook.com vs www.facebook.com
Abus du domaine de premier niveau du code pays (ccTLD) : twitter.cm vs twitter.com conduisant une personne qui a omis une lettre loin du vrai site

Quels sont les types de Typosquatting

La prévalence du typosquattage s’est accrue au point de contraindre de grandes entreprises comme Apple, Google, Facebook et Microsoft à enregistrer des variantes de leur domaine comportant des erreurs typographiques ou à bloquer les domaines susceptibles de faire l’objet d’un typosquattage par le biais du service de l’ICANN (Internet Corporation for Assigned Names and Numbers).

Tous les efforts de typosquattage ne sont pas motivés par la cybercriminalité, mais de nombreux propriétaires de domaines typosquattés sont de mauvaise foi. Ces cybercriminels développent des sites web malveillants qui pourraient tenter d’installer des logiciels malveillants, des ransomwares, de voler des numéros de carte de crédit, de hameçonner des informations personnelles.

Parmi les utilisations populaires des domaines typosquattés, citons :

• L’appât et l’échange : Le faux site Web vous vend quelque chose que vous aimeriez acheter à la bonne URL, mais ne vous envoie pas l’article
• Cybersquatting : Le propriétaire du domaine typosquatté tente de vendre le domaine à la victime à un prix plus élevé
• Imitateurs : Le site Web frauduleux imite l’identité du site Web de la victime pour réaliser une attaque de phishing
• Site de plaisanterie ou campagne pour dénigrer : Le site se moque de la marque déposée ou du nom de la marque. On peut aussi tout simplement renvoyer vers des sites concurrents
• Liste de résultats de recherche connexes : Le propriétaire utilise le trafic destiné au site réel pour diriger le trafic vers les concurrents, en les facturant au coût par clic
• Enquêtes et cadeaux : Le site Web factice présente aux visiteurs un formulaire de commentaires ou une enquête armée pour voler des informations sensibles
• Monétisation du trafic : Les faux propriétaires de sites Web affichent des publicités ou des fenêtres contextuelles pour générer des revenus publicitaires à partir des visiteurs de la page Web
• Liens d’affiliation : Le faux site redirige le trafic vers la marque par le biais de liens d’affiliation afin de percevoir une commission sur tous les achats via le programme d’affiliation légitime de la marque
• Installation de logiciels malveillants : Le site malveillant installe des logiciels malveillants ou des logiciels publicitaires sur les appareils des visiteurs
• Phishing : Les sites malveillants sont développés pour ressembler exactement à des sites Web populaires afin d’accéder à des données personnelles, des identifiants de connexion ou des courriels d’utilisateurs

Par exemple ces faux sites Brave et Visual Studio Code renvoie vers un fichier ZIP malveillant poussant des trojan.

Autre exemple avec ethersmine.com qui vise à voler les portes feuilles Ethereum.

Un dernier exemple avec du Cybersquatting où le domaine thunderbird.xyz a été enregistré et proposé à la vente.

Comment se protéger du typosquattage

Les recommandations pour lutter contre le typosquatting sont essentiellement les mêmes que pour le phishing.

Vérifiez l’identité du site :

• Vérifier l’adresse du site et faire attention à l’orthographe de l’URL
• Vérifier que le site visité est sécurisé et authentifié par un certificat SSL : Comment vérifier la validité certificat SSL et connexion TLS d’un site HTTPS
• En cas de doute, vérifier les données propriétaires du site via un WHOIS