En collaboration avec les registres néerlandais et irlandais (SIDN et https://www.weare.ie/), DNS Belgium a mené une recherche à grande échelle sur la nature des attaques de hameçonnage ( phishing ) dans les zones .be, .nl et .ie. Le but est de mieux comprendre comment fonctionne le hameçonnage, comment mieux le détecter et comment s'en protéger plus efficacement.
Les cybercriminels qui mènent des attaques de hameçonnage tentent d'obtenir des données privées de leurs victimes. Il s'agit d'une pratique déjà ancienne, qui constitue depuis des années une menace majeure pour la sécurité en ligne. Selon les rapports 2023 du FBI et de l'Agence européenne pour la cybersécurité (ENISA), le hameçonnage est la forme de cybercriminalité la plus répandue.
Nous avons enquêté sur plus de 28 000 noms de domaine impliqués dans le hameçonnage. Dans notre analyse, nous avons tenu compte du nombre respectif de noms de domaine dans les trois pays et du fait que, contrairement à la Belgique et aux Pays-Bas, l'Irlande n'a pas de politique d'enregistrement ouverte. Seules les entreprises et les personnes ayant un lien avec l'Irlande peuvent enregistrer un nom de domaine .ie.
Notre analyse nous a permis de tirer les conclusions suivantes :
Abus à l'échelle mondiale
L'étude a mis en évidence deux stratégies d'attaque. Les entreprises nationales sont souvent imitées au niveau de leur propre ccTLD . Un ccTLD (country code top domain level) est associé à un pays et inspire donc beaucoup de confiance aux résidents de ce pays. Demandez-vous si vous passeriez commande auprès de www.coolepennenzakken.be ou de www.coolepennenzakken.xyz.
Nous avons cherché à savoir si les pirates exploitaient cette confiance dans le cadre d'attaques par hameçonnage.
Il apparaît que pour les 3 ccTLD, la plupart des entreprises imitées ne sont pas basées en Belgique, aux Pays-Bas ou en Irlande, et que les cybercriminels se font le plus souvent passer pour des banques et des institutions financières.
Les attaques de hameçonnage utilisant des noms de domaine provenant d'un des trois ccTLD étudiés ciblent 78 pays et couvrent 114 segments de marché. Ce qui signifie que les cybercriminels utilisent les ccTLD pour commettre des abus à l'échelle mondiale.
Nouveaux noms de domaine et noms existants compromis
L’étude a montré également que 80 % des attaques de hameçonnage utilisent des sites web compromis et non des domaines nouvellement enregistrés.
Les noms de domaine existants sont le plus souvent compromis par des criminels qui veulent se faire passer pour une entreprise internationale. Les nouveaux noms de domaine sont plus susceptibles d'être utilisés pour des attaques d'hameçonnage nationales.
Ce choix peut également s'expliquer par des raisons financières. Il est moins coûteux pour les cybercriminels d'abuser d'un nom de domaine existant que de payer un nouveau nom et son hébergement.
Institutions financières et entreprises technologiques
Les cybercriminels qui pratiquent le hameçonnage préfèrent se faire passer pour des banques, des institutions financières et de grandes entreprises technologiques. Microsoft est le grand favori des cybercriminels. Dans les trois zones étudiées, des noms de domaine comme Microsoft, Google, Netflix et PayPal sont utilisés dans 58 % de toutes les attaques de hameçonnage.
Les secteurs financier et technologique attirent les cybercriminels à cause de l’accès qu’ils leur offrent, potentiellement, à des données précieuses et aux ressources financières de leurs clients.
La politique des registres s'avère cruciale
L'étude souligne l'importance de politiques et de mesures efficaces pour prévenir les abus. Les registres ccTLD, tels que DNS Belgium, jouent un rôle crucial dans la limitation des attaques par hameçonnage.
On peut contrer le dans les trois zones étudiées à deux niveaux :
Au niveau du DNS, il y a trois options
1. Le registre supprime le nom de domaine abusif du fichier de zone et de l'espace de noms.
2. Le registre désactive le nom de domaine abusif et le supprime de la zone DNS, mais pas de l'espace de noms.
3. Le nom de domaine est maintenu dans la zone et dans l'espace de noms, mais les serveurs DNS qui font autorité (enregistrements NS) sont modifiés.
Au niveau du web, le contenu du hameçonnage peut simplement être supprimé du site web.
En imposant des exigences strictes en matière d'enregistrement et en répondant promptement aux signalements d'abus, les registres peuvent contribuer à réduire le hameçonnage. Chaque registre ccTLD est libre de concevoir ses propres politiques pour lutter contre les abus.
L'étude révèle que 75 % des noms de domaine enregistrés de manière malveillante dans la zone .be sont traités au niveau du DNS. Dans 49,6 % des cas, c'est DNS Belgium qui s'en charge directement. Nos collègues néerlandais choisissent de faire traiter les abus d’abord par les agents d'enregistrement.
Action continue et sensibilisation
Sur la base de nos recherches, nous pouvons formuler plusieurs recommandations pour lutter plus efficacement contre le hameçonnage.
- Les bureaux d'enregistrement devraient coopérer et partager des informations entre eux ainsi qu'avec les organismes de sécurité afin de réagir rapidement aux nouvelles menaces.
- Nous devons continuer à sensibiliser les entreprises et les consommateurs.
Cet article est basé sur l'article original de SIDN, qui examine en détail les conclusions de notre étude : https://www.sidnlabs.nl/en/news-and-blogs/cctld-phishing-characterisation