Fournir des informations actuelles et historiques sur la propriété des domaines/IP. Identifier toutes les connexions entre les domaines, les titulaires, les bureaux d'enregistrement et les serveurs DNS.
La violation massive des données de Yahoo!, qui s'est étendue de 2012 à 2016, est l'une des plusimportantesà ce jour, avec 3 milliards de comptes compromis. Les noms, dates de naissance, adresses e-mail, numéros de téléphone et même les questions et réponses de sécurité cryptées et non cryptées des utilisateurs ne sont que quelques-unes des informations qui ont été dérobées et potentiellement vendues sur les marchés clandestins.
La bonne nouvelle est que les personnes concernées peuvent désormais demander une indemnisation pour les dommages et pertes subis. Elles peuvent bénéficier de deux ans de surveillance gratuite de leur crédit ou recevoir entre 100 et 25 000 dollars américains en espèces à titre de dédommagement pour le vol et la fraude potentielle. Les personnes intéressées peuvent vérifier si elles sont éligibles à un dédommagement en contactant l'administrateur du site officiel dédié au règlement du litige lié à la violation de données, yahoodatabreachsettlement.com.
Il semblerait que les personnes ayant été affectées par la violation de données chez Yahoo! puissent désormais être rassurées, n'est-ce pas ? Probablement pas, car de nouvelles menaces sont apparues peu après l'annonce de l'accord à l'amiable. Tout comme lorsque Equifax a annoncé les détails de son accord à l'amiable et informé les victimes où elles pouvaient déposer leurs réclamations, plusieurs sites web frauduleux imitant le site web de Yahoo! ont fait leur apparition. Les personnes qui ne font pas preuve de vigilance pourraient finir par exposer encore plus d'informations personnelles identifiables (PII) au lieu d'obtenir une compensation pour ce qu'elles ont déjà perdu.
Afin d'illustrer ce point, nous avons utilisé divers outils d'intelligence de domaine pour étudier l'environnement de menaces émergentes autour du site de règlement Yahoo! et présenter des recommandations sur la manière d'atténuer les risques qui en découlent.
Produit n° 1 : Domain Research Suite
Pour commencer, nous avons effectué une recherche rapide des domaines nouvellement enregistrés qui ressemblaient au site officiel de Yahoo! en utilisant le mot-clé « yahoodatabreachsettlement » et avons trouvé plusieurs pages potentiellement dangereuses qui arboraient les extensions .com, .net, .info, .us et d'autres extensions de domaine de premier niveau (TLD).
Nous avons toutefois décidé de nous concentrer sur celles qui utilisaient le TLD .com, car le site officiel de Yahoo! l'utilise également, ce qui rend plus probable que les 42 pages frauduleuses relatives au règlement du litige sur la violation de données que nous avons identifiées soient consultées par des plaignants potentiels.
À l'aide deDomain Research Suite, nous avons compilé des informations pertinentes sur chaque domaine (attention : nous vous recommandons de ne pas les visiter ni les partager) dans le tableau suivant :
| Domaine | Date de création | Responsable de l'enregistrement / | Pays | Adresse électronique | Adresse IP |
| ahoodatabreachsettlement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| uahoodatabreachsettlement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yagoodatabreachsettlement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahhoodatabreachsettlement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahooatabreachsettlement(.com) | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodaabreachsettlement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodarabreachsettlement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatabrachsettlement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatabreachettlement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatabreachsettkement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatabreachsettleent(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatabreachsettlememt(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatabreachsettlemen(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatabreachsettlemet(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatabreachsettlemnt(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatabreachsettlemrnt(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatabreachsettlemwnt(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatabreachsettlenent(.)com | 1er septembre 2019 | Données incomplètes | 199.59.242.152 | ||
| yahoodatabreachsettlrment(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatabreachsetttlement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatabreachsttlement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatabreacsettlement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatabreahsettlement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatabreavhsettlement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatabreaxhsettlement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatabreschsettlement(.)com | 26 septembre 2019 | Données incomplètes | 199.59.242.152 | ||
| yahoodatabteachsettlement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatareachsettlement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodatebreachsettlement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| yahoodtabreachsettlement(.)com | 31 août 2019 | Super Privacy Service LTD c/o Dynadot | ÉTATS-UNIS | [email protected] | 199.59.242.152 |
| Ils ont le bonheur d'être à l'abri de l'oppression(.)com | 1er septembre 2019 | XINNET TECHNOLOGY CORPORATION | [email protected] | 199.59.242.152 | |
| yahoodatabreachsettle(.)com | 1er septembre 2019 | XINNET TECHNOLOGY CORPORATION | [email protected] | 199.59.242.152 | |
| yahoodatabreachsettlements(.)com | 1er septembre 2019 | XINNET TECHNOLOGY CORPORATION | [email protected] | 199.59.242.152 | |
| yahoodatabreech(.)com | 1er septembre 2019 | XINNET TECHNOLOGY CORPORATION | [email protected] | 199.59.242.152 | |
| yahoodatabeeachsettlement(.)com | 5 septembre 2019 | Chengdu West Dimension Digital Technology Co. | CHINE | 103.224.182.242 | |
| yahoodataberachsettlement(.)com | 5 septembre 2019 | Chengdu West Dimension Digital Technology Co. | CHINE | 103.224.182.242 | |
| yahoodatabraechsettlement(.)com | 5 septembre 2019 | Chengdu West Dimension Digital Technology Co. | CHINE | 103.224.182.242 | |
| yhaoodatabreachsettlement(.)com | 5 septembre 2019 | Chengdu West Dimension Digital Technology Co. | CHINE | 103.224.182.242 | |
| yshoodatabreachsettlement(.)com | 5 septembre 2019 | Chengdu West Dimension Digital Technology Co. | CHINE | 103.224.182.242 | |
| yahoobreachdatasettlement(.)com | 9 septembre 2019 | Domaines par procuration, LLC | ÉTATS-UNIS | [email protected] | 45.33.2.79 96.126.123.244 45.33.23.183 198.58.118.167 45.79.19.196 45.56.79.23 |
| yahoodatabreachaettlement(.)com | 11 septembre 2019 | Domaines par procuration, LLC | ÉTATS-UNIS | [email protected] | 200.63.47.3 |
| yahoodatabreaachsettlement(.)com | 23 septembre 2019 | Privacy Protect, LLC (PrivacyProtect.org) | ÉTATS-UNIS | [email protected] | 45.33.2.79 198.58.118.167 96.126.123.244 45.79.19.196 45.56.79.23 45.33.23.183 |
Veuillez noter que tous les domaines ne sont que des variantes légèrement modifiées du domaine réel, ce qui indique clairement qu'il s'agit de liens malveillants ou, à tout le moins, illégitimes. Il n'est pas rare, après tout, que les victimes de phishing soient attirées par des URL mal saisies. Dans ce cas précis, les hameçonneurs ont peut-être enregistré des domaines ressemblant fortement au site de règlement des litiges liés à la violation des données de Yahoo! afin de piéger les utilisateurs souhaitant déposer une réclamation. De cette manière, les hameçonneurs pouvaient obtenir les identifiants Yahoo! des demandeurs et empocher les frais.
Voici un résumé de nos observations :
- Environ 79 % des domaines ont été enregistrés entre le 31 août et le 1er septembre 2019, soit 3 à 4 jours avant l'annonce officielle faite le 4 septembre. Les 21 % restants ont été enregistrés après l'annonce, entre le 5 et le 26 septembre 2019. Le graphique suivant présente le nombre d'enregistrements de domaines par date de création :
- 29 des domaines ont été enregistrés le 31 août 2019
- 5 ont été créés les 1er et 5 septembre 2019
- 1 chacun ont été enregistrés les 11, 23 et 26 septembre 2019
- Sur la base des informations enregistrées concernant les titulaires ou les bureaux d'enregistrement pour les domaines enregistrés de manière anonyme ou privée :
- 27 étaient sous Super Privacy Service LTD c/o Dynadot
- 5 étaient sous la responsabilité de Chengdu West Dimension Digital Technology Co, Ltd.
- 4 étaient sous Xinnet Technology Corporation
- 2 étaient sous Domains By Proxy, LLC
- 2 avaient des données incomplètes
- 1 était sous Privacy Protect, LLC (PrivacyProtect.org)
- Basé sur le pays d'enregistrement :
- 31 ont été accueillis aux États-Unis.
- 6 étaient situés en Chine
- 6 n'ont pas indiqué leur lieu de résidence
- Bien que la majorité des domaines disposaient d'adresses électroniques correspondantes (c'est-à-dire correspondant à leurs noms de domaine), certains utilisaient les adresses de leurs registraires, à savoir :
- [email protected] pour ceux qui sont la propriété de Xinnet Technology Corporation
- [email protected] pour les sites appartenant à Privacy Protect, LLC (PrivacyProtect.org)
- En fonction de l'adresse IP :
- 33 partageaient l'adresse IP 199.59.242.152 (tous les domaines enregistrés par Super Privacy Service LTD c/o Dynadot et Xinnet Technology Corporation, ainsi que les 2 domaines dont les données sont incomplètes).
- 5 partageaient l'adresse IP 103.224.182.242 (tous les domaines enregistrés par Chengdu West Dimension Digital Technology Co., Ltd.)
- 2 adresses IP multiples partagées, notamment 45.33.2.79, 96.126.123.244, 45.33.23.183, 198.58.118.167, 45.79.19.196 et 45.56.79.23 (tous les domaines étant enregistrés par Domains By Proxy, LLC).
- 1 a utilisé l'adresse IP 200.63.47.3 (enregistrée par Privacy Protect, LLC [PrivacyProtect.org])
Ce que les résultats révèlent
Ce ratio du volume d'enregistrement de noms de domaine (qui atteint son maximum avant l'annonce officielle et diminue par la suite) n'est pas surprenant. Les auteurs d'hameçonnage souhaitent en effet que leurs pages frauduleuses soient opérationnelles lorsque les plaignants potentiels recherchent des informations sur la manière de déposer une demande d'indemnisation et souhaitent être les premiers à le faire.
La disparité entre le nombre de domaines (42) et le nombre de titulaires (6), ainsi que le fait qu'ils aient été enregistrés à peu près aux mêmes dates, suggère un enregistrement en masse.
Bien qu'ils aient omis certaines informations dans leurs enregistrements WHOIS, les domaines yahoodatabreschsettlement(.)com et yahoodatabreschsettlement(.)com ont très probablement été enregistrés via Super Privacy Service LTD c/o Dynadot, car leur création peut être attribuée à la même adresse IP (199.59.242.152) que tous les autres domaines détenus par le titulaire.
Il convient également de noter que Super Privacy Service LTD c/o Dynadot et Xinnet Technology Corporation partageaient la même adresse IP. Cela dit, même si les domaines enregistrés par Xinnet Technology Corporation n'indiquaient pas où ils étaient hébergés, on peut supposer sans risque qu'ils se trouvent dans le même pays, à savoir les États-Unis.
Recherches et enquêtes complémentaires
Nous avons recoupé nos premières conclusions concernant l'enregistrement des noms de domaine avec d'autres résultats de recherche WHOIS et avons identifié les sites Web frauduleux suivants :
- wwwyahoodatabreachsettlement(.)com
- yahoodatabreach(.)com
- yahoodatabreachlawsuit(.)com
- yahoodatabreachsetlement(.)com
- yahoodatabreachsettelment(.)com
- yahoodatabreachsettement(.)com
- yahoodatabreachsettlement(.)com
- yahoodatabreachsettlment(.)com
- yahoodatabreachssettlement(.)com
Des vérifications aléatoires de la date d'enregistrement de chaque site ont révélé que ceux-ci avaient été enregistrés avant le 31 août 2019. Il est possible que certains n'existent plus.
Un site en particulier, yahoodatabreach(.)com, s'est révélé intéressant, car il a été initialement créé le 8 mars 2017, deux ans avant qu'une décision ne soit prise concernant les conditions du règlement du litige Yahoo!. L'enregistrement de ce site a été renouvelé le 3 février 2019, bien qu'il ait été supprimé peu après.
Certains domaines ont également été enregistrés il y a quelques années. Les cybercriminels anticipaient peut-être que les utilisateurs concernés rechercheraient des informations sur la compromission et espéraient qu'ils aboutiraient sur leurs sites Web frauduleux.
Produit n°2 : API IP inversée
Après avoir identifié les adresses IP récurrentes qui figuraient dans les recherches WHOIS inversées que nous avons effectuées, nous avons examiné de plus près la plus importante d'entre elles, 199.59.242.152, vial'API Reverse IP. Cette adresse IP a un âge estimé à 3 235 jours (plus de 8 ans). Nous avons identifié l'organisation qui en est propriétaire, et il s'agit d'une société de plate-forme de parking de domaines.
Bien que le parking de domaines ne soit pas illégal, les cybercriminels achètent souvent des domaines parqués pour héberger leurs sites malveillants. Cela pourrait très bien avoir été le cas ici. Les personnes à l'origine des faux sites de règlement de violation de données Yahoo! auraient pu acheter en gros les domaines .com que nous avons découverts afin de réduire les coûts, ce qui expliquerait la même date d'enregistrement.
Dans la plupart des cas de cybersécurité, la prévention des attaques est assurée par le blocage d'adresses IP spécifiques au niveau du réseau. Cette approche empêche les utilisateurs de visiter par inadvertance des sites potentiellement dangereux ou des individus malveillants d'accéder aux systèmes et aux données stockées sur ledit réseau. Il peut donc être judicieux pour les organisations de bloquer les adresses IP liées aux sites frauduleux mentionnés dans cet article.
Produit n° 3 : API de réputation de domaine
Afin de mieux mettre en évidence la nature malveillante de ces propriétés en ligne imitant le site de règlement de Yahoo!, nous avons utilisél'API Domain Reputationpour analyser deux des domaines usurpés et leur attribuer une note comprise entre 0 et 100. Veuillez noter que la note idéale est 0, ce qui indique que le site peut être consulté en toute sécurité.
- Yahoodatabeeachsettlement(.)com a obtenu un score de réputation de 66,67. L'API a émis un avertissement concernant sa nouveauté, ainsi que la délivrance très récente de son certificat SSL et ses vulnérabilités.
- Yahoobreachdatasettlement(.)com a obtenu un score de réputation de 77,41. Des avertissements concernant son jeune âge et ses vulnérabilités SSL ont également été mentionnés.
Conclusion et bonnes pratiques
D'après nos recherches approfondies sur les adresses IP et les bases de données WHOIS, la plupart des domaines potentiellement malveillants semblent être simplement mis en attente. Cependant, certaines cyberattaques pourraient être en cours de préparation.
Quelle que soit la motivation, une chose est claire : l'enregistrement massif de noms de domaine est un moyen pour les typosquatteurs ou les cybersquatteurs de générer des revenus.
Les propriétaires des domaines usurpés pourraient attendre que d'autres personnes malintentionnées les achètent pour les utiliser dans des attaques de phishing. Après tout, il est relativement simple de créer un site qui collecterait les identifiants Yahoo! des demandeurs.
Les demandeurs peuvent se méfier des attaques de phishing en suivant ces bonnes pratiques :
- Vérifiez si le lien auquel ils tentent d'accéder est bien le site officiel de Yahoo! consacré au règlement du litige relatif à la violation de données. Ils peuvent consulter le site officiel de Yahoo! pour plus de détails.
- Si vous recevez un e-mail d'une personne prétendant appartenir à Yahoo!, vous pouvez contacter le service client de l'entreprise afin de vérifier la véracité de cette communication. Si l'adresse e-mail de l'expéditeur figure dans le tableau ci-dessus, il s'agit probablement d'un e-mail de phishing qui doit être supprimé immédiatement.
- Veuillez vérifier qu'il n'y a pas de fautes de frappe ou d'erreurs grammaticales dans l'adresse e-mail de l'expéditeur, le contenu du message et l'objet. Ces éléments sont souvent présents dans les e-mails de phishing.
- Il est recommandé d'éviter de cliquer sur les liens contenus dans les e-mails et de télécharger des pièces jointes provenant d'expéditeurs inconnus. Cela pourrait involontairement diriger les utilisateurs vers des sites malveillants.
- Veuillez utiliser une solution de sécurité qui bloque les spams et les logiciels malveillants, ainsi que l'accès aux sites Web connus pour être malveillants.
D'autre part, Yahoo! et les organisations qui souhaitent mieux protéger les plaignants et autres contre le phishing, le typosquatting et l'usurpation de site Web peuvent s'appuyer sur la gamme d'outils proposés parDomain Research Suite:
- Brand Monitorpermet aux utilisateurs de détecter les contrevenants potentiels en matière de marques déposées et autres abus de marque. Grâce à sa fonctionnalité de détection des fautes de frappe, les utilisateurs peuvent générer automatiquement une liste des variantes mal orthographiées de leur domaine afin de mener une enquête plus approfondie.
- Grâce àRegistrant Monitor, les utilisateurs peuvent surveiller les personnes enregistrées qui ont commis des infractions par le passé.
- Par ailleurs, Domain Monitor permet aux utilisateurs de surveiller les domaines ayant un passé controversé, de sorte que, s'ils sont réutilisés dans le cadre d'attaques, ils puissent être rapidement supprimés.
- La recherche WHOIS inverséepermet aux utilisateurs de recueillir des informations WHOIS détaillées correspondant à un « terme de recherche » particulier sur un domaine tel qu'il figure dans les enregistrements WHOIS : noms, numéros de téléphone, adresses e-mail, etc.
- La recherche historique WHOISpermet d'approfondir l'historique d'un domaine afin de vérifier tous ses anciens propriétaires ainsi que les autres modifications apportées au fil des ans.
Nous espérons que cette enquête sur le cybersquatting du site de règlement de Yahoo! vous a été utile. Pour plus d'informations sur Domain Research Suite, n'hésitez pas ànous contacterouà vous inscrirepour essayer la suite.