1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Pourquoi .US Est-il utilisé pour Hameçonner Autant d'entre nous?

Pourquoi .US Est-il utilisé pour Hameçonner Autant d'entre nous?

Noms de domaine se terminant par “.NOUS"- le domaine de premier niveau pour les États — Unis-sont parmi les plus répandus dans les escroqueries par hameçonnage, selon de nouvelles recherches. Ceci est remarquable car .US est supervisé par le gouvernement américain, qui est fréquemment la cible de domaines de phishing se terminant par .US. De plus, les domaines .US ne sont censés être disponibles que pour les citoyens américains et pour ceux qui peuvent démontrer qu'ils ont une présence physique aux États-Unis.

.US est le” domaine de premier niveau de code de pays " ou ccTLD des États-Unis. Des dizaines de pays ont leurs propres ccTLD: .MX pour le Mexique, par exemple, ou .CA pour le Canada. Mais peu d'autres grands pays du monde ont autant de domaines de phishing chaque année que .US.

C'est selon Le Groupe de Conseil Interisle, qui rassemble des données sur le phishing provenant de multiples sources de l'industrie et publie un rapport annuel sur les dernières tendances. La dernière étude d'Interisle a examiné six millions de rapports d'hameçonnage entre le 1er mai 2022 et le 30 avril 2023, et 30 000 domaines de phishing .US trouvés.

Le .US est supervisé par le Administration Nationale des Télécommunications et de l'Information (NTIA), une agence du pouvoir exécutif de la Département du Commerce des États-Unis. Cependant, la NTIA actuellement contrats terminés la gestion du domaine .US à Père Noël, de loin le plus grand registraire de domaines au monde.

En vertu des réglementations de la NTIA, l'administrateur du registre .US doit prendre certaines mesures pour vérifier que leurs clients résident réellement aux États-Unis ou possèdent des organisations basées aux États-Unis, Mais Interisle a constaté que tout ce que GoDaddy faisait pour gérer ce processus de vérification ne fonctionnait pas.

“L'exigence de "lien". US limite théoriquement les enregistrements aux parties ayant une connexion nationale, mais .US avait un nombre très élevé de domaines de phishing”, a écrit Interisle. “Cela indique un problème possible avec l'administration ou l'application des exigences Nexus.”

Doyen Marks est directeur exécutif et conseiller juridique d'un groupe appelé the Coalition pour la Responsabilité en Ligne, qui a critiqué la gestion des marques .US par la NTIA, indique que pratiquement tous les CCTLD des États membres de l'Union européenne qui appliquent des restrictions nexus ont également des niveaux d'abus massivement inférieurs en raison de leurs politiques et de leur surveillance.

“Même les très grands ccTLD, comme .de pour l'Allemagne — qui détient une part de marché beaucoup plus importante des enregistrements de noms de domaine que .US — présentent de très faibles niveaux d'abus, y compris le phishing et les logiciels malveillants”, a déclaré Marks à KrebsOnSecurity. “À mon avis, cette situation avec .US ne devrait pas être acceptable pour le gouvernement américain dans son ensemble, ni pour le public américain.”

Marks a déclaré qu'il y avait très peu de domaines de phishing jamais enregistrés dans d'autres ccTLD qui limitent également les enregistrements à leurs citoyens, tels que .HU (Hongrie), .NZ (Nouvelle-Zélande) et .FI (Finlande), où un lien avec le pays, une preuve d'identité ou une preuve d'incorporation sont requis.

"Ou .LK (Sri Lanka), où la politique d'utilisation acceptable inclut un" verrouillage et suspension " si des domaines sont signalés pour une activité suspecte”, a déclaré Marks. “Ces ccTLD plaident en faveur de la validation des titulaires de noms de domaine dans l'intérêt de la sécurité publique.”

Malheureusement,. US est un cloaque d'activités de phishing depuis de nombreuses années. Dès 2018, Interisle a découvert que les domaines .US étaient les pires au monde pour le spam, les botnets (infrastructure d'attaque pour DDOS, etc.) et des contenus illicites ou préjudiciables. À l'époque,. US était exploité par un entrepreneur différent.

En réponse aux questions de KrebsOnSecurity, GoDaddy a déclaré que tous les inscrits .US doivent certifier qu'ils répondent aux exigences nexus de la NTIA. Mais cela semble être un peu plus qu'une réponse affirmative qui est déjà présélectionnée pour tous les nouveaux inscrits.

Tenter d'enregistrer un domaine .US via GoDaddy, par exemple, conduit à une page d'informations d'enregistrement aux États-Unis qui remplit automatiquement le champ d'attestation nexus avec la réponse: “Je suis citoyen des États-Unis."Les autres options incluent “" Je suis un résident permanent des États-Unis " et “Mon domicile principal est aux États-Unis.” Il ne coûte actuellement que 4,99 $pour obtenir un domaine .US via GoDaddy.

GoDaddy a déclaré qu'il effectuait également une analyse des informations de demande d'enregistrement sélectionnées et effectuait des “vérifications ponctuelles” sur les informations des inscrits.

“Nous effectuons des examens réguliers, conformément à la politique, des données d'enregistrement dans la base de données du Registre pour déterminer la conformité de Nexus avec les communications en cours avec les bureaux d'enregistrement et les inscrits”, a déclaré la société dans une déclaration écrite.

GoDaddy déclare qu'il “s'engage à soutenir un environnement en ligne plus sûr et à résoudre ce problème de manière proactive en l'évaluant par rapport à notre propre système d'atténuation des abus.”

"Nous nous opposons aux abus DNS sous toutes leurs formes et maintenons plusieurs systèmes et protocoles pour protéger tous les TLD que nous exploitons”, poursuit le communiqué. "Nous continuerons à travailler avec les bureaux d'enregistrement, les entreprises de cybersécurité et d'autres parties prenantes pour progresser dans ce défi complexe.”

Interisle a découvert qu'un nombre important de domaines .US avaient été enregistrés pour attaquer certaines des entreprises les plus importantes des États-Unis, notamment Banque d'Amérique, Amazone, PommeÀ & T, Citi, Comcast et, Microsoft, Méta, et Cible.

"Ironiquement, au moins 109 des domaines .US dans nos données ont été utilisés pour attaquer le gouvernement des États-Unis, en particulier le Service postal des États-Unis et ses clients”, a écrit Interisle. “Les domaines.US ont également été utilisés pour attaquer des opérations gouvernementales étrangères: six domaines .US ont été utilisés pour attaquer des services gouvernementaux australiens, six ont attaqué la Royal Mail de Grande-Bretagne, un a attaqué Postes Canada et un a attaqué l'Administration fiscale danoise.”

La NTIA récemment publié une proposition cela permettrait à GoDaddy d'expurger les données des inscrits des enregistrements d'enregistrement WHOIS. La charte actuelle pour .US spécifie que tous les enregistrements d'enregistrement .US doivent être publics.

Interisle fait valoir que sans des efforts plus rigoureux pour vérifier un lien avec les États-Unis pour les nouveaux titulaires de noms de domaine .US, la proposition de la NTIA rendra encore plus difficile l'identification des hameçonneurs et la vérification de l'identité des titulaires et des qualifications de lien.

La NTIA n'a pas encore répondu aux demandes de commentaires.

Interisle s'approvisionne en données de phishing à partir de plusieurs endroits, y compris le Groupe de Travail Anti-Hameçonnage (GTPA), Poisson ouvert, Réservoir de phishing, et Maison de Spam. Pour plus de faits sur le phishing, voir Interisle's Rapport 2023 sur le paysage du phishing (PDF en anglais).



>>Plus