Semaine 13: Une page «vide»... ou une stratégie commerciale fondée sur des noms de domaine obsolètes

04.04.2023 - Une page Internet peut en cacher une autre. C'est ce que montre le cas suivant, signalé au NCSC la semaine dernière. Après avoir accédé à une page web en apparence vide via un moteur de recherche ou un réseau social, les visiteurs étaient redirigés vers une page douteuse par un code Javascript. Les cybercriminels récupèrent systématiquement les noms de domaine obsolètes, en particulier ceux qui jouissent d'une réputation solide et par conséquent d'un bon référencement, et tentent de créer une redirection vers un site publicitaire douteux afin de gagner de l'argent par différentes astuces.

Les noms de domaines obsolètes très recherchés par les cybercriminels

Beaucoup de propriétaires connaissent le problème: ils n'ont plus besoin de leur nom de domaine et envisagent de le résilier, puisqu'il génère des frais annuels. Or peu d'entre eux se préoccupent du fait qu'après sa résiliation, n'importe qui peut se l'approprier et l'utiliser pour le contenu de son choix. Par le passé, plusieurs ex-propriétaires de domaines ont signalé au NCSC que l'URL de leur ancienne page web menait désormais à des boutiques en ligne suspectes ou à des sites pour adultes. Les domaines qui disposent d'un cercle de visiteurs certes restreint, mais néanmoins intéressant pour les escrocs, sont particulièrement visés. Ceux-ci tirent parti de la position obtenue par le site Internet d'origine dans les moteurs de recherche. Si un mot-clé correspondant est recherché, ce n'est pas le site d'origine mais le site rattaché par les escrocs au nom de domaine qui apparaît.

La semaine dernière aussi, un certain nombre de sites Internet douteux ont été signalés au NCSC. Tous les noms de domaine appartenaient à la même entreprise et leur création remontait à quelque temps, ce qui laissait soupçonner que nous avions affaire à ce type d'arnaque. En effet, il s'est rapidement avéré que tous les noms de domaine avaient récemment changé de propriétaire.

Une simple page vide?

En saisissant le lien de la page suspecte directement dans la barre d'adresse du navigateur, nous arrivons sur une page qui semble vide au premier abord. Or l'analyse approfondie du NCSC a révélé le contraire. Le code source contient des instructions Javascript qui vérifient le référent, c'est-à-dire l'URL du site à partir duquel la victime a accédé à la page «vide». Si l'URL correspond à un moteur de recherche ou à un réseau social usuels, la victime est redirigée vers une page Internet conçue par les escrocs. En revanche, s'il appartient à un site qui n'est pas listé dans le script ou si le lien de la page suspecte a directement été saisi dans la barre d'adresse du navigateur, rien ne s'affiche: la page semble vide.

Code Javascript, redirigeant les victimes vers la page ci-dessous uniquement si elles ont accédé à la page suspecte via un moteur de recherche ou un réseau social. Les sites induisant une redirection sont listés dans le script.
Code Javascript, redirigeant les victimes vers la page ci-dessous uniquement si elles ont accédé à la page suspecte via un moteur de recherche ou un réseau social. Les sites induisant une redirection sont listés dans le script.

Stratégie commerciale et répartition du travail

La page conçue par les escrocs contient un lien vers une page publicitaire pour une offre d'investissement suspecte. Les escrocs tentent ainsi d'attirer le plus de victimes potentielles pour les inciter à sauter sur l'occasion d'un investissement «à ne pas manquer». La page publicitaire fait aussi référence à une émission télévisée d'investissement financier (Höhle der Löwen). La méthode serait si rentable que la chaîne télévisée n'aurait pas eu le droit de diffuser l'épisode qui lui était dédié.

Publicité pour des offres d'investissement douteuses. Celle-ci mentionne l'émission d'investissement financier Höhle der Löwen. Le lien montre le numéro du site qui a mené à la page publicitaire.
Publicité pour des offres d'investissement douteuses. Celle-ci mentionne l'émission d'investissement financier Höhle der Löwen. Le lien montre le numéro du site qui a mené à la page publicitaire.

Le lien de la page publicitaire révèle la stratégie commerciale: on y trouve le code du site web conçu par les escrocs à partir duquel l'internaute a été redirigé. Les cybercriminels peuvent ainsi déterminer quel site a généré le clic et le rémunèrent en conséquence. De cette manière, l'escroc nouvellement propriétaire des noms de domaine tente d'amortir les frais de leur acquisition et d'engranger par la même occasion un maximum de bénéfices.

La démarche dévoile une répartition des tâches bien huilée: alors qu'un groupe se charge de créer les pages publicitaires et les offres d'investissement douteuses, un autre tente de générer le plus de clics possible vers ces pages. Un troisième groupe s'occupe ensuite de la fraude à l'investissement proprement dite.

Recommandations:

  • Sachez qu'un domaine abandonné (le nom enregistré du site Internet) peut être réservé par d'autres et utilisé de manière frauduleuse.

  • Si vous voulez céder un domaine, vérifiez s'il atteint une certaine position dans les moteurs de recherche. Si vous conservez le domaine pendant un certain temps mais qu'il n'y a plus de contenu dessus, il reculera automatiquement dans le classement et perdra son attrait.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 04.04.2023

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2023/wochenrueckblick_13.html