Connaissez-vous les Doppelganger Domains…?

Nous vous parlons souvent ici des risques liés au typosquatting de noms de domaine. Si la forme la plus courante de détournement de trafic internet a pour cible les sites web, les opérations malhonnêtes basées sur les noms de domaine peuvent également concerner les emails. On parle alors de « mailsquatting ».

Une société américaine de recherche en sécurité, Godai Group, vient de publier une étude très intéressante sur stratégies frauduleuses utilisant des noms de domaines.

Elle s’est concentrée sur une forme spécifique de typosquatting qui consiste à déposer des domaines de type frmicrosoft.com (sans point après fr) pour attaquer les adresses de type abc@fr.microsoft.com (avec un point entre fr et Microsoft). Godai Group a baptisé ces domaines les « Doppelganger Domain ».

La probabilité de faire une erreur de frappe lors de la saisie d’une adresse email est réelle. L’objectif des mailsquatteurs est alors de tenter de récupérer des emails potentiellement sensibles : communications bancaires, emails destinés à des dirigeants d’entreprises, etc…

Imaginons que Jean Dupont travaille chez Microsoft France, et qu’il ait une adresse jean.dupont@fr.microsoft.com, le fraudeur ayant déposé frmicrosoft.com pourra capturer tous les mails envoyés par erreur à jean.dupont@frmicrosoft.com. Inutile de connaitre le nom de chaque collaborateur ou le structure lexicales des adresses email : la fonction « catchall » des serveurs mails permettant de collecter tous les mails envoyés de type nimportequi@frmicrosoft.com.

Les cibles de ce type d’attaques sont essentiellement les grandes entreprises multinationales qui ont souvent pour habitude de créer des sous-domaines géographiques pour les adresses email des collaborateurs leurs filiales locales.

Les analystes de Godai Group ont considéré que sur les 500 plus grandes entreprises américaines, environ 150 étaient susceptibles de subir ce type d’attaques. Ils ont déposé des dizaines de ces domaines « doppelganger », en relation avec les noms de ces sociétés.

En l’espace de 6 mois, ils ont récupéré 20 Go de données dans plus de 120 000 courriers électroniques. Certaines de ces données étaient sensibles : discussions commerciales confidentielles, stratégies d’entreprises, mots de passe, … Pour reprendre notre exemple sur Microsoft France, on peut imaginer la sensibilité des données si jamais Jean Dupont en était le PDG…

Pour se protéger contre ce type d’attaques, Godai Group propose plusieurs pistes, dont le fait de déposer ces noms de domaine de façon préventive afin que personne d’autre ne puisse les utiliser, ou encore de bloquer les serveurs mails de l’entreprise afin qu’ils refusent les envois de mails sur ces noms de domaine par des collaborateurs de l’entreprise. Cette solution ne protège pas des attaques extérieures, mais elle est efficace pour les transmissions de courriers internes, grande majorité des échanges mails d’une entreprise. Il est aussi possible de mettre en place des surveillances de noms de domaine afin de détecter des enregistrements par des tiers de domaines contenant le nom de l’entreprise. Le Mailclub propose bien entendu toutes les solutions de veilles de noms de domaine, détaillées sur son site www.mailclub.fr