Domaines cousins : l'art de l'usurpation d'identité en ligne expliqué
Qu’est-ce qu’un domaine voisin ?
Un domaine voisin ou domaine proche est une forme d’usurpation de l’adresse email consistant pour le hacker à utiliser domaine ressemblant de très près au nom d’un autre site. Ces domaines tirent parti de fautes de frappe fréquentes, par exemple www.facabook.com, ou de chiffres, par exemple goog1e.com, pour tenter de faire croire aux internautes qu’ils ont reçu un email légitime ou qu’ils se trouvent sur un site légitime.
Les domaines voisins sont aussi appelés :
- Domaine proche
- Domaine usurpé
- Domaine factice
- Domaine similaire
Si la dénomination est variable, l’objectif final reste le même : convaincre les utilisateurs de faire confiance à un email ou un site de phishing.
Même les utilisateurs avertis peuvent tomber dans le panneau, car les domaines voisins sont souvent indiscernables de leur version légitime. Par exemple, les hackers peuvent remplacer des caractères de l’alphabet latin par des caractères cyrilliques.
Comment fonctionne un domaine voisin ?
Un domaine voisin exploite des différences subtiles dans son nom, qu’il est souvent difficile de déceler au premier coup d’œil. Si l’on tient compte du fait que les utilisateurs ne scrutent pas à la loupe le nom de domaine des expéditeurs des emails, et que de nombreux clients de messagerie cachent carrément ce domaine sur les appareils mobiles, il est facile de comprendre pourquoi cette technique est si efficace.
Domaines voisins et phishing
Les domaines voisins sont des sites web enregistrés et les hackers peuvent donc créer des adresses email légitimes associées. Ces adresses permettent d’envoyer des emails de spear phishing, aussi appelés Business Email Compromise (BEC).
Exemples de domaines voisins
Les variations des domaines voisins sont infinies. En voici quelques exemples très simples :
- com - netfilx.com
- com - facebock.com
- com - arnazon.com
- com - gooogle.com
- com -banjofamerica.com
Conséquences des domaines voisins
Les domaines voisins sont considérés comme une forme d’usurpation de l’adresse email. Ils peuvent ainsi avoir des conséquences durables et coûteuses, notamment sur les plans financiers, réputationnel, juridique et réglementaire. Parmi ces conséquences, citons le vol d’informations sensibles, les violations de données, les infections par des malwares.
Mais attention, cela ne s’arrête pas là. Des attaques qui compromettent les informations de clients et partenaires peuvent dégrader la réputation de la marque que la victime représente et aboutir à des actions en justice. Les victimes peuvent aussi devoir s’acquitter d’amendes sévères pour violations de réglementations telles que le Health Insurance Portability and Accountability Act (HIPAA) ou le Règlement général sur la protection des données (RGPD). Par exemple, le RGPD peut forcer les victimes d’une violation de données à verser une amende atteignant 20 millions d’euros ou 4 % du chiffre d’affaires total de l’année précédente.
Protection contre les domaines voisins
Il existe différents moyens pour les organisations de se protéger des attaques par domaines voisins : la sensibilisation et la préparation. Chaque organisation devrait ainsi prendre les mesures de cybersécurité suivantes :
- Former les employés :
les programmes de sensibilisation au phishing enseignent aux employés à repérer et contrer l’usurpation des domaines et autres techniques de phishing. Ils utilisent des simulations de véritables emails et pages de phishing pour que les utilisateurs connaissent et reconnaissent les techniques de phishing les plus récentes.
- Authentification multifacteur (MFA) :
le recours à des mesures de sécurité supplémentaires, comme l’authentification multifacteur, permet d’empêcher les hackers d’accéder à vos systèmes, même si vos informations ont été compromises. L’authentification multifacteur est une ligne de défense importante dans laquelle toutes les organisations devraient investir.
- Solutions de sécurité de l’email intégrées :