Prévenu par un chercheur de Palo Alto Networks, GoDaddy a supprimé 15 000 sous-domaines utilisés à l’insu des propriétaires légitimes du domaine à des fins de spam et d’escroquerie.
Ces liens vers des « produits miracles » approuvés par telle ou telle célébrité, on y a tous eu droit un jour ou l’autre. Mail promotionnel, publicité Facebook, encart publicitaire sur un site web… ici, Jennifer Lopez nous vante les bienfaits d’une cure amaigrissante, là Stephen Hawking loue les mérites d’une pilule qui va changer l’Humanité. En 2017, Jeff White, un chercheur de Palo Alto Networks, s’est penché sur ces campagnes servant aussi bien à de l’escroquerie pure et simple qu’à du vol d’informations (bancaires notamment).
Il a ainsi découvert que, malgré la grande diversité de produits vendus, certaines caractéristiques étaient communes à ces campagnes. D’abord, l’utilisation du faux appui d’une célébrité, Gwen Stefani, Stephen Hawking ou encore les juges de l’émission Shark Tank. On parle de marketing d’affiliation, mais poussé plus loin encore avec l’utilisation de sous-domaines. Les sites sur lesquels tombent les internautes sont des sous-domaines de domaines parfaitement légitimes et généralement n’ayant rien à voir avec une quelconque pilule miracle.
Scam
« Lorsque j'ai commencé à enquêter, je voyais des centaines de domaines différents, beaucoup d'entre eux montrant des signes de compromis et, de toute évidence, NON destinés au spam utilisé sur leur infrastructure » explique Jeff White. Explications : les comptes utilisés pour gérer ces domaines ont été compromis, leurs identifiants dérobés au moyen de phishing ou d’ingénierie sociale. Les attaquants créent alors de nombreux sous-domaines qu’ils utilisent dans le cadre de campagnes de spam et pour héberger leurs faux articles faisant la promotion de ces produits (profitant dans certains cas de l’indexation du domaine par les moteurs de recherche).
Ultimement, l’internaute tombe sur le site vendant ledit produit, finissant victime d’une arnaque (en commandant un échantillon gratuit qui s’accompagne d’un abonnement de quelques centaines de dollars mensuels) ou du vol de ses données bancaires. Tous les propriétaires de domaines concernés sont clients du registrar GoDaddy. Prévenu, celui-ci explique avoir supprimé quelques 15 000 sous-domaines frauduleux et avoir réinitialisé les mots de passe et notifié ses clients, qui seraient quelques centaines à avoir été affectés.