Technologies courantes des sites web exploitées par les escrocs de l'internet

Pour reconnaître les escroqueries, il faut être capable de voir et d'évaluer les signaux provenant des données disponibles. Presque tout peut être un signal qui alerte l'utilisateur sur la possibilité d'une activité suspecte sur un site web. Par exemple, l'ancienneté du nom de domaine ou sa longueur, la présence ou l'absence d'un certificat SSL, la grammaire du contenu textuel, des images, des boutons de médias sociaux, etc. La pile technologique du site web doit également être prise en considération.

Techradar.com

Les fraudeurs utilisent souvent certaines technologies de sites web pour inciter des victimes peu méfiantes à fournir des informations sensibles, à voler de l'argent ou à compromettre leur identité. Cela ne veut pas dire que ces technologies sont mauvaises en elles-mêmes, mais plutôt qu'elles sont utilisées par des acteurs malveillants. C'est la manière dont elles sont utilisées par les acteurs malveillants qui est importante. Comme toute autre avancée technologique, elle peut être utilisée à la fois pour de bonnes et de mauvaises choses. L'exemple le plus courant est sans doute celui du feu, qui peut être utilisé pour préparer un repas ou pour un incendie criminel. Ceci étant dit, il y a certainement certaines tendances dans l'utilisation de certaines technologies qui peuvent être considérées comme des signaux d'activité suspecte.

Bien entendu, la fraude peut se produire d'une myriade de façons différentes, et les technologies utilisées pour les activités malveillantes peuvent être les plus sophistiquées. Cet article ne vise pas à fournir une liste exhaustive des technologies, mais plutôt à donner des exemples de la manière dont certaines technologies de sites web peuvent être exploitées par les escrocs sur internet en raison de certaines caractéristiques qu'elles possèdent ou qu'elles fournissent, à savoir :

• Abordabilité
• l'anonymat
• la sécurité
• la facilité d'utilisation.

Abordabilité : Enregistrement du nom de domaine

La création d'un site web commence par l'enregistrement d'un nom de domaine, ce qui ne peut se faire sans les services d'un bureau d'enregistrement de noms de domaine.

Selon une étude menée par Scamadviser en septembre 2022, GoDaddy, le plus grand bureau d'enregistrement de noms de domaine au monde, a augmenté sa part d'hébergement de domaines douteux de 3 % l'année dernière à 7,5 % cette année. Ce pourcentage est légèrement inférieur à la moyenne générale, mais en chiffres absolus, c'est énorme.

Les trois principaux bureaux d'enregistrement ayant enregistré le plus grand pourcentage de domaines à faible score sont Alibaba (63,8 %), NameSilo (28,2 %) et NameCheap (14,8 %).

Ces services d'enregistrement de noms de domaine populaires, connus pour leur prix abordable, ne sont malheureusement pas à l'abri d'une utilisation abusive par les fraudeurs de l'internet. En raison de leur faible coût et de leur facilité d'utilisation, ces plateformes peuvent, par inadvertance, faciliter la création de sites web trompeurs.

Le fait que le nom de domaine soit enregistré auprès de l'un des bureaux d'enregistrement susmentionnés ne signifie en aucun cas qu'il s'agit d'une escroquerie, puisque des millions de noms de domaine légitimes sont enregistrés auprès de ces bureaux. Il s'agit toutefois d'un signal auquel il convient de prêter attention et d'une information qui doit être prise en compte en combinaison avec d'autres signaux lors de l'évaluation d'un site web.

Anonymat : Réseau de diffusion de contenu

Un réseau de diffusion de contenu, ou CDN en abrégé, est un réseau de serveurs répartis sur différents sites dans le monde. Sa fonction principale est de fournir une livraison rapide du contenu internet.

La répartition des serveurs permet aux utilisateurs d'accéder au contenu à partir d'un serveur géographiquement proche d'eux, ce qui se traduit par des temps de chargement plus rapides. Cela est particulièrement important pour le chargement de contenus lourds tels que les vidéos, les images et les scripts.

Lorsqu'un utilisateur demande une page web, le CDN redirige la demande du serveur du site d'origine vers un serveur du CDN qui est le plus proche de l'utilisateur et fournit le contenu mis en cache à partir de ce serveur. Si le contenu n'est pas disponible dans le cache, le serveur CDN le demandera au serveur d'origine, le mettra en cache pour une utilisation ultérieure et le servira à l'utilisateur.

C'est là que les choses se compliquent, surtout lorsqu'il s'agit de Cloudflare.

Lorsque les services CDN de Cloudflare sont utilisés par un site web, l'hôte réel du site n'est pas révélé. Cloudflare fournit un service de proxy inverse, qui agit en tant qu'intermédiaire entre le serveur hôte et les visiteurs, cachant ainsi le serveur d'origine. Cela signifie que, du point de vue de l'application de la loi, lorsqu'un site web enfreint la propriété intellectuelle et utilise Cloudflare comme fournisseur de CDN, la seule information immédiatement disponible pour le titulaire des droits est que Cloudflare fournit des services de CDN. L'opérateur du site n'est pas révélé, pas plus que le véritable lieu d'hébergement du site. Bien que cela offre une protection contre les cyberattaques telles que les attaques par déni de service, il peut s'agir d'une arme à double tranchant, car l'anonymat acquis peut également être utilisé à des fins malveillantes.

Selon les résultats de l'étude menée par Corsearch en 2022:

• 71 % des sites web dont Corsearch a notifié à Google la rétrogradation dans les moteurs de recherche utilisaient les services de réseau de diffusion de contenu (CDN) de Cloudflare.
• Près de la moitié (49 %) des sites web signalés pour piratage de contenu (films, télévision, musique, photographie, etc.) utilisent Cloudflare.
• Un quart (23,5 %) des sites web signalés pour avoir proposé des produits de contrefaçon utilisent Cloudflare.

Encore une fois, le CDN de Cloudflare est un produit excellent et nécessaire, mais il est souvent utilisé par les malfaiteurs pour dissimuler leur identité. Il pourrait donc être considéré comme un signal pour ceux qui luttent contre les cybercriminels lorsqu'ils évaluent la crédibilité d'un site web.

Sécurité : Certificats SSL

Les certificats SSL (Secure Socket Layer), généralement symbolisés par le préfixe "https" et l'icône d'un cadenas dans la barre d'adresse, sont conçus pour crypter les transferts de données entre le navigateur d'un utilisateur et le site web qu'il visite. Ces certificats sont souvent utilisés comme un signe de sécurité des sites web et de protection des données. Malheureusement, les escrocs de l'internet exploitent cette perception de sécurité pour conférer une aura de légitimité à leurs activités néfastes.

Les fraudeurs, en particulier ceux qui mènent des campagnes d'hameçonnage, sécurisent souvent leurs sites web trompeurs à l'aide de certificats SSL. Étant donné que de nombreux utilisateurs associent les icônes "https" et "cadenas" à la sécurité et à la fiabilité, cette tactique peut effectivement induire les utilisateurs en erreur et leur faire croire qu'un site frauduleux est authentique.

Let's Encrypt, une autorité de certification à but non lucratif lancée par l'Internet Security Research Group (ISRG), fournit des certificats SSL/TLS gratuits dans le cadre d'un mouvement visant à créer un web plus sûr et plus respectueux de la vie privée. Toutefois, la facilité d'accès et la gratuité de ces certificats en ont malheureusement fait une option attrayante pour les escrocs de l'internet.

Selon les données recueillies par DomainCrawler, 96,99 % des sites de commerce électronique disposent d'un certificat SSL. 65 % d'entre eux sont émis par Let's Encrypt.

Sites de commerce électronique avec e-commerce, données de DomainCrawler au 28 août 2023

Voici comment les choses se passent souvent : un fraudeur crée un site web trompeur conçu pour imiter une marque ou un service réputé. Pour renforcer l'apparence de légitimité, il se procure un certificat SSL auprès de Let's Encrypt. Le préfixe "https" et l'icône du cadenas désormais visibles dans la barre d'adresse de l'utilisateur peuvent alors induire ce dernier en erreur et lui faire croire qu'il se trouve sur un site sécurisé et digne de confiance.

Par exemple, un escroc pourrait créer une boutique en ligne contrefaite, proposant des produits très demandés à des prix radicalement réduits. Après s'être procuré un certificat SSL gratuit auprès de Let's Encrypt, il pourrait alors envoyer des courriels d'hameçonnage à des victimes potentielles, les dirigeant vers son site web "sécurisé".

Il est essentiel de comprendre que si Let's Encrypt et les autres certificats SSL fournissent une couche de sécurité essentielle en cryptant les données, ils ne vérifient pas l'intégrité de l'opérateur du site web ni le contenu de ce dernier. Toutefois, les escrocs sont beaucoup moins susceptibles d'utiliser des certificats SSL de type Extended Validation.

Réplication : CMS SaaS et plateformes de commerce électronique

L'utilisation généralisée de plateformes de commerce électronique et de CMS en mode SaaS (Software-as-a-Service), telles que Shopify, WooCommerce, Wix ou Squarespace, a abaissé la barrière à l'entrée pour les entreprises en ligne, ce qui, malheureusement, inclut également les activités illicites. Ces plateformes fournissent tous les outils nécessaires à la création d'une boutique en ligne, y compris les listes de produits, les images, les paniers d'achat et les passerelles de paiement, ce qui permet aux escrocs de créer de beaux sites web sophistiqués et d'y ajouter des fonctionnalités de commerce électronique

Le principal avantage est la rapidité d'installation. Ces plateformes offrent des interfaces et des modèles faciles à utiliser, ce qui permet à n'importe qui, y compris aux fraudeurs, de créer rapidement une boutique en ligne d'apparence professionnelle. Ils peuvent rapidement créer une fausse boutique en ligne, l'alimenter avec des listes de produits (souvent copiées à partir de sites légitimes) et commencer à "vendre" des produits.

En outre, la vérification limitée crée des opportunités pour les escrocs. Bien que les plateformes SaaS disposent de politiques de lutte contre les activités frauduleuses, il peut être difficile de contrôler minutieusement chacune des nouvelles boutiques créées en raison du volume considérable de celles-ci. Les fraudeurs peuvent profiter de cette situation, au moins pendant une courte période, jusqu'à ce qu'ils soient détectés et fermés.

Conclusion

Les technologies des sites web peuvent être utilisées à des fins à la fois légitimes et illégitimes, comme presque tout ce qui existe dans le monde.

L'anonymat, la réplication rapide et un prix peu élevé sont les éléments qui rendent une certaine solution ou technologie populaire auprès des fraudeurs. Le président de la GASA, Jorij Abraham, déclare : "Les escrocs n'utilisent pas de logiciels coûteux : Les escrocs n'utilisent pas de logiciels coûteux, mais ils se professionnalisent. Nous constatons que certains escrocs ont développé des plates-formes entières d'escroquerie, ce qui leur permet de copier/coller très facilement leurs escroqueries d'un domaine à l'autre. Nous l'avons même mesuré une fois. Un site web a été supprimé et automatiquement, en 3,5 minutes, le site suivant a été lancé. Cela ne fait que confirmer la nécessité d'automatiser notre réponse. Nous ne pouvons pas gagner manuellement.

Des solutions telles que DomainCrawler et ScamaviserAnalyzer permettent de suivre l'utilisation des technologies des sites web afin de rendre le processus de détection et de lutte contre les escroqueries plus efficace.

Volodymyr Holovash | Directeur du marketing chez DomainCrawler

Volodymyr est un professionnel du marketing chevronné, passionné par le big data. Il travaille avec DomainCrawler depuis son lancement en 2021. Avant de s'impliquer dans DomainCrawler, il a travaillé pour un fournisseur d'hébergement suédois, Internet Vikings, en tant que stratège de contenu et gestionnaire d'événements.

DomainCrawler

DomainCrawler est un fournisseur B2B de premier plan de données de qualité sur les domaines dans divers secteurs. Des registres et bureaux d'enregistrement de noms de domaine aux agences de protection des marques et aux enquêteurs OSINT, DomainCrawler fournit des données précises qui permettent à ses clients de lutter contre la cybercriminalité, de surveiller l'ensemble de l'internet, de détecter les changements dans l'activité des domaines, de découvrir des connexions cachées sur le web et de mener des études de marché complètes.