Attention : campagne de slamming en cours

Les bases de données contenant les coordonnées des titulaires de noms de domaine (« Whois ») sont depuis le début de l’internet l’une des sources privilégiées des bases de données des spammeurs de tous horizons. Ces bases, simples à récupérer, sont vendues à bas prix car elles ne présentent aucun ciblage précis, mais, contenant des millions de données, elles sont souvent utilisées pour des campagnes massives de phishing.

Elles servent parfois à des opérations plus précises, liées directement aux noms de domaine. Ces tentatives, appelée slamming, prennent souvent la forme d’un email « officiel » de réabonnement, qui semble crédible car toutes les données du domaine y sont en général indiquées, notamment la date d’expiration. En un clic, pensant que c’est son « registrar » qui lui écrit pour l’inviter à renouveler son domaine, le titulaire se retrouve à lancer un transfert vers on ne sait où, et à être au final obligé de payer une redevance annuelle exorbitante (plusieurs centaines de dollars) pour ne pas perdre son domaine. Comme pour le phishing, peu de gens se laissent prendre, mais sur des campagnes de plusieurs millions d’envois, les escrocs arrivent quand même à des résultats lucratifs.

La campagne qui se déroule en ce moment prend la forme d’un e-mail très ambigu, car il ne propose à proprement parler le transfert ou le renouvellement du domaine. Il invite à payer une prestation de référencement, évidemment totalement bidon, dans des termes qui prêtent largement à confusion puisqu’ils utilisent systématiquement le terme « expiration » associé au nom de domaine. Si on lit attentivement le mail, il s’agit de l’expiration d’une offre commerciale pour référencer son nom de domaine. Une personne qui lit le mail en diagonale, qui connaît mal les procédures liées aux noms de domaine ou qui comprend moyennement l’anglais pourra facilement se faire prendre et cliquer sur les liens du mail, pensant que c’est le processus officiel pour renouveler son domaine. Voici le mail en question :

slamming

 

pagerenewLa page sur laquelle il renvoie a là aussi l’air assez sérieuse : on y retrouve tout ce qui correspond à un renouvellement de nom de domaine : le domaine, la date d’expiration, un prix annuel, etc… La page est estampillée d’une obscure « Domain SEO Service Registration Corp » avec le SEO moins lisible que le Domain Service Registration Corp… Nos escrocs ont le sens du détail ! Quelqu’un qui ne saurait pas ce que veut dire SEO (search engine optimisation) pourrait lire tout le mail en pensant qu’il s’agit bel et bien du renouvellement de son domaine.

whoisEncore un doute sur le sérieux de la démarche… ? Il suffit de cliquer sur le lien « About us » pour être rassuré : « We are an SEO and online marketing company based in Florida USA ». Tout va bien, c’est une vraie société américaine qui a pignon sur rue, aucun risque ! Sauf que non, justement : la belle histoire s’effondre en faisant un whois sur le nom de domaine du site. Le titulaire de domainseoreg.com, qui a d’ailleurs été enregistré le jour du lancement de la campagne de spam, n’est pas du tout une société basée en Floride, mais un particulier chinois basé à Shanghai. Il a enregistré son domaine via un registrar chinois, et les serveurs sont aussi en Chine ! Récupérer ses 64 dollars ne sera pas facile, et l’internaute crédule risquera en plus de ne jamais renouveler son domaine auprès de son vrai registrar, pensant qu’il l’a déjà fait !

whois1