Règlement de la violation des données de Yahoo ! Une plongée en profondeur dans les faux sites web grâce à la surveillance des noms de domaine

L'énorme violation de données de Yahoo ! qui a duré de 2012 à 2016 est l'une des violations de donnéesles plus notables àce jour. à ce jour, avec 3 milliards de comptes compromis. Les noms des utilisateurs, leurs dates de naissance, leurs adresses électroniques, leurs numéros de téléphone et même leurs questions et réponses de sécurité, cryptées ou non, ont été compromis. numéros de téléphone, et même des questions et réponses de sécurité cryptées et non cryptées. informations volées et potentiellement vendues sur les marchés souterrains.

La bonne nouvelle, c'est que les personnes touchées peuvent maintenant demander des indemnités pour les dommages et les pertes qu'elles ont subis. qu'elles ont subies. Elles peuvent bénéficier de deux ans de surveillance gratuite de leur solvabilité ou d'une somme de 100 à 25 000 dollars en guise de dédommagement pour le vol et la fraude potentielle. à titre de dédommagement pour le vol et la fraude potentielle. Les personnes intéressées peuvent vérifier si elles sont éligibles au en contactant l'administrateur du site officiel de règlement des violations de données, yahoodatabreachsettlement.com.

Il semble que ceux qui ont souffert du compromis Yahoo ! puissent dormir sur leurs deux oreilles, n'est-ce pas ? Probablement pas, car de nouvelles menaces ont surgi peu de temps après l'annonce du règlement de la brèche. Comme ce fut le cas lorsqu'Equifax a annoncé les détails du règlement de la violation et a informé les victimes de l'endroit où elles pouvaient déposer une demande d'indemnisation, plusieurs faux sites web imitant le site web de Yahoo ! ont fait surface. faux sites web imitant le site web de règlement de Yahoo ! ont fait surface. Les personnes qui ne font pas attention pourraient finir par exposer encore plus d'informations personnelles identifiables (PII) au lieu d'obtenir une rémunération pour ce qu'elles ont déjà perdu. ce qu'ils ont déjà perdu.

Pour mieux illustrer ce point, nous avons utilisé plusieurs de nos outils d'intelligence économique pour étudier ce à quoi ressemble l'environnement des menaces émergentes autour du site de règlement de Yahoo ! et présenter des recommandations. l'environnement de menace émergeant autour du site de règlement de Yahoo ! sur la manière d'atténuer les risques qui en découlent.

Produit n° 1 : Domain Research Suite

Pour commencer, nous avons effectué une recherche rapide des domaines nouvellement enregistrés qui ressemblent au site officiel de Yahoo ! en utilisant le mot clé "yahoodatabreachsettlement" et nous avons trouvé plusieurs pages potentiellement nuisibles qui portaient les extensions .com, .net, .info, .us et d'autres extensions de domaines de premier niveau (TLD). qui portaient les extensions .com, .net, .info, .us et d'autres domaines de premier niveau (TLD).

Nous avons toutefois décidé de nous concentrer sur celles qui portaient le TLD .com, car le site officiel de Yahoo ! l'utilise, ce qui rend plus probable que les 42 fausses pages de règlement des violations de données que nous avons identifiées soient visitées par des demandeurs potentiels. par des plaignants potentiels.

En utilisant Domain Research Suite, nous avons compilé des informations pertinentes sur chaque domaine (avertissement : nous vous recommandons de ne pas les visiter ni de les partager) dans le tableau suivant. nous vous recommandons de ne pas les visiter ni de les partager) dans le tableau suivant :

Notez que tous les domaines ne sont que des variantes légèrement modifiées du domaine réel, ce qui indique clairement qu'il s'agit de liens malveillants ou, à tout le moins, illégitimes. Après tout, il n'est pas rare que les victimes de phishing soient attirées par des URL mal orthographiées. Dans ce cas, les phishers ont probablement enregistré des domaines très similaires au site de règlement du litige concernant la violation des données de Yahoo! afin de piéger les utilisateurs souhaitant déposer une réclamation. De cette manière, les hameçonneurs pouvaient obtenir les identifiants Yahoo! des demandeurs et empocher les frais.

Voici un résumé de nos observations :

• Environ 79 % des domaines ont été enregistrés entre le 31 août et le 1er septembre 2019, soit 3 à 4 jours avant l'annonce officielle faite le 4 septembre. Les 21 % restants ont été enregistrés après l'annonce, entre le 5 et le 26 septembre 2019. Le graphique suivant montre le nombre d'enregistrements de domaines par date de création :
  • 29 des domaines ont été enregistrés le 31 août 2019
  • 5 ont été créés les 1er et 5 septembre 2019
  • 1 chacun ont été enregistrés les 11, 23 et 26 septembre 2019
• Basé sur le registrant ou le bureau d'enregistrement enregistré pour les domaines qui ont été enregistrés de manière anonyme ou privée. 
  • 27 étaient sous Super Privacy Service LTD c/o Dynadot
  • 5 étaient sous la responsabilité de Chengdu West Dimension Digital Technology Co, Ltd.
  • 4 étaient sous Xinnet Technology Corporation
  • 2 étaient sous Domains By Proxy, LLC
  • 2 avaient des données incomplètes
  • 1 était sous Privacy Protect, LLC (PrivacyProtect.org)
• Basé sur le pays d'enregistrement :
  • 31 ont été accueillis aux États-Unis.
  • 6 étaient situés en Chine
  • 6 n'ont pas indiqué leur lieu de résidence
• Si la majorité des domaines disposaient d'adresses e-mail correspondantes (c'est-à-dire correspondant à leur nom de domaine), certains utilisaient les adresses de leurs bureaux d'enregistrement, à savoir :
  • [email protected] pour ceux qui sont la propriété de Xinnet Technology Corporation
  • [email protected] pour les sites appartenant à Privacy Protect, LLC (PrivacyProtect.org)
• En fonction de l'adresse IP :
  • 33 partageaient l'adresse IP 199.59.242.152 (tous les domaines enregistrés par Super Privacy Service LTD c/o Dynadot et Xinnet Technology Corporation, ainsi que les 2 domaines dont les données sont incomplètes).
  • 5 partageaient l'adresse IP 103.224.182.242 (tous les domaines enregistrés par Chengdu West Dimension Digital Technology Co, Ltd)
  • 2 partageait plusieurs adresses IP dont 45.33.2.79, 96.126.123.244, 45.33.23.183, 198.58.118.167, 45.79.19.196, et 45.56.79.23 (tous les domaines enregistrés par Domains By Proxy, LLC)
  • 1 a utilisé l'adresse IP 200.63.47.3 (enregistrée par Privacy Protect, LLC [PrivacyProtect.org])

Ce que les résultats révèlent

Ce rapport entre le volume d'enregistrement des domaines (qui atteint son maximum avant l'annonce officielle et diminue par la suite) n'est pas surprenant. après) n'est pas surprenant. Après tout, les hameçonneurs voudraient que leurs fausses pages soient prêtes à l'emploi lorsque des requérants potentiels viendront chercher plus de détails sur la manière de demander des dommages et intérêts et d'être les premiers dans la file d'attente. dans la file d'attente.

La disparité entre le nombre de domaines (42) et de titulaires (6), ainsi que le fait qu'ils aient été enregistrés à peu près aux mêmes dates, indiquent qu'il s'agit d'un enregistrement en masse. à peu près aux mêmes dates, indique qu'il s'agit d'un enregistrement en masse.

Malgré l'absence d'informations dans leurs enregistrements WHOIS, yahoodatabreschsettlement(.)com et yahoodatabreschsettlement(.)com ont très probablement été enregistrés en utilisant Super Privacy Service LTD c/o Dynadot puisque leur création a pu être retracée jusqu'à la même adresse IP -199.59.242.152- que tous les autres domaines appartenant au registrant. que tous les autres domaines détenus par le registrant.

Il convient également de noter que Super Privacy Service LTD c/o Dynadot et Xinnet Technology Corporation partageaient la même adresse IP. Cela dit, même si les domaines enregistrés par Xinnet Technology Corporation n'indiquaient pas où ils étaient hébergés, on peut supposer sans risque qu'ils se trouvent dans le même pays, à savoir les États-Unis.

Recherches et enquêtes complémentaires

Nous avons recoupé nos premiers résultats concernant l'enregistrement des domaines avec d'autres résultats de recherche WHOIS et nous avons trouvé ces sites Web frauduleux supplémentaires. et nous avons trouvé ces autres faux sites web :

• wwwyahoodatabreachsettlement(.)com
• yahoodatabreach(.)com
• yahoodatabreachlawsuit(.)com
• yahoodatabreachsetlement(.)com
• yahoodatabreachsettelment(.)com
• yahoodatabreachsettement(.)com
• yahoodatabreachsettlement(.)com
• yahoodatabreachsettlment(.)com
• yahoodatabreachssettlement(.)com

Des contrôles aléatoires de la date d'enregistrement de chaque site ont révélé que ceux-ci avaient été enregistrés avant le 31 août 2019. Il est possible que certains n'existent plus.

Un site en particulier - yahoodatabreach(.)com - s'est avéré intéressant car il a été créé le 8 mars 2017, deux ans avant qu'une décision ne soit prise concernant les termes du règlement de la violation de Yahoo ! L'enregistrement de ce site a été renouvelé le 3 février 2019, mais il a été supprimé peu après.

Certains domaines ont également été enregistrés il y a quelques années. Les cybercriminels ont peut-être anticipé que les utilisateurs concernés chercheraient des détails sur la compromission et espéraient qu'ils atterriraient sur leurs faux sites web.

Produit n°2 : API IP inversée

Après avoir identifié les adresses IP récurrentes figurant dans les recherches inversées de WHOIS que nous avons effectuées, nous avons examiné de plus près l'adresse la plus importante - 199.59.242.152 via Reverse IP API. Cette adresse IP a un âge estimé à 3 235 jours (plus de 8 ans). Nous avons retrouvé l'organisation qui la possède et il s'avère qu'il s'agit d'une société de plateforme de parking de domaines.

Bien que le parking de domaines ne soit pas illégal, les cybercriminels achètent souvent des domaines parqués pour héberger leurs sites malveillants. Cela pourrait très bien avoir été le cas ici. Les personnes derrière les faux sites de règlement de violation de données Yahoo! pourraient avoir acheté en masse les domaines .com que nous avons découverts afin de réduire les coûts, ce qui explique la même date d'enregistrement.

Dans la plupart des cas de cybersécurité, la prévention des attaques consiste à bloquer des adresses IP spécifiques côté réseau. Cette approche évite aux utilisateurs de visiter par inadvertance des sites potentiellement dangereux ou à des personnes malveillantes d'accéder aux systèmes et aux données stockés sur ledit réseau. Il peut donc être judicieux pour les organisations de bloquer les adresses IP liées aux faux sites mentionnés dans cet article.

Produit n° 3 : API de réputation de domaine

Pour mieux mettre en évidence la nature malveillante de ces propriétés en ligne imitant le site de règlement de Yahoo ! nous avons utilisé Domain Reputation API pour analyser deux des domaines usurpés et leur attribuer une note comprise entre 0 et 100. Notez que la note idéale est 0, ce qui indique que l'accès au site est sûr.

• Yahoodatabeeachsettlement(.)com a un score de réputation de 66.67. Un avertissement de sa nouveauté a été par l'API, ainsi que l'émission très récente d'un certificat SSL et des vulnérabilités.
• Yahoobreachdatasettlement(.)com a un score de réputation de 77.41. Des avertissements concernant son jeune âge et les vulnérabilités du protocole SSL ont également été cités.

Conclusion et bonnes pratiques

D'après nos recherches approfondies sur l'IP et le WHOIS, la plupart des domaines potentiellement malveillants semblent être parqués uniquement. Toutefois, certaines cyberattaques pourraient encore être en cours de préparation.

Quelle que soit la motivation, une chose reste claire : l'enregistrement en bloc de domaines est l'un des moyens par lesquels les typosquatteurs ou les cybersquatteurs gagnent de l'argent. les typosquatteurs ou les cybersquatteurs gagnent de l'argent.

Les propriétaires des domaines usurpés pourraient attendre que d'autres malfaiteurs les achètent pour les utiliser dans des attaques d'hameçonnage. dans des attaques de phishing. Après tout, il est facile de créer un site qui recueille les données d'identification Yahoo ! des demandeurs.

Les demandeurs peuvent se méfier des attaques de phishing en suivant ces bonnes pratiques :

• Vérifiez que le lien auquel ils tentent d'accéder est bien le site officiel du règlement de la violation des données de Yahoo ! de Yahoo ! Ils peuvent se référer au site officiel de Yahoo ! pour plus de détails.
• S'ils reçoivent un courriel d'une personne prétendant être de Yahoo ! pour vérifier la communication. Si l'adresse électronique de l'expéditeur figure dans le tableau ci-dessus, il s'agit probablement d'un courriel de phishing qu'il faut supprimer immédiatement. tableau ci-dessus, il s'agit probablement d'un courriel d'hameçonnage qui doit être supprimé immédiatement.
• Recherchez les fautes de frappe et de grammaire dans l'adresse électronique de l'expéditeur, le contenu du message et l'objet du message. l'objet du message. Ces erreurs sont généralement présentes dans les courriels d'hameçonnage.
• Évitez de cliquer sur les liens contenus dans les courriels et de télécharger les pièces jointes provenant d'expéditeurs inconnus. Ces actions peuvent amener les utilisateurs sur des sites malveillants sans qu'ils le sachent.
• Utilisez une solution de sécurité qui bloque les spams et les logiciels malveillants, ainsi que l'accès aux sites Web malveillants connus.

D'autre part, Yahoo ! et les organisations qui souhaitent mieux protéger les demandeurs et d'autres personnes contre le contre le phishing, le typosquatting et l'usurpation de site web peuvent s'appuyer sur la variété d'outils offerts par Domain Research Suite:

• Brand Monitor permet aux utilisateurs de détecter les contrefaçons potentielles de marques déposées et autres abus de marques. Grâce à sa fonctionnalité de détection des fautes de frappe, les utilisateurs peuvent générer automatiquement une liste des variantes orthographiques de leur domaine afin de mener une enquête plus approfondie.
• Grâce à Registrant Monitor, les utilisateurs peuvent garder un œil sur les déclarants qui ont commis des actes répréhensibles dans le passé.
• Domain Monitor, quant à lui, peut aider les utilisateurs à suivre les domaines au passé douteux, de sorte que chaque fois qu'ils sont réutilisés dans des attaques, ils peuvent être rapidement supprimés.
• LReverse WHOIS Search permet aux utilisateurs de recueillir des informations WHOIS détaillées correspondant à un « terme de recherche » particulier sur un domaine tel qu'il figure dans les enregistrements WHOIS : noms, numéros de téléphone, adresses e-mail, etc.
• WHOIS History Search permet d'approfondir l'histoire d'un domaine et de vérifier tous ses anciens propriétaires ainsi que d'autres modifications au fil des ans. 

Nous espérons que cette enquête sur le cybersquattage du site de règlement de Yahoo ! vous a été utile. Pour plus d'informations sur la Domain Research Suite, n'hésitez pas à nous contacter ou à vous inscrire et à essayer la suite.