Developpez.com

Télécharger gratuitement le magazine des développeurs, le bimestriel des développeurs avec une sélection des meilleurs tutoriels

Des chercheurs découvrent 22 000 URL utilisées dans des escroqueries de support technique
Grâce à un outil baptisé RoboVic, une extension d'OpenWPM

Le , par Patrick Ruiz, Chroniqueur Actualités
Les arnaques par le biais de pages Web sont un phénomène connu. Seulement, comme l’expliquent des chercheurs de l’université de Stony Brook aux États-Unis, les mécanismes permettant de comprendre comment un utilisateur se retrouve sur de telles pages le sont moins bien. Au-delà, il y a la nécessité comme ils l’ont souligné d’avoir des chiffres sur cette activité. Ils se sont donc penchés sur ces questions et ont développé un outil automatisé permettant de recenser les noms de domaine impliqués dans ce type d’activité, ainsi que les mécanismes qui mènent un internaute à ceux-ci.


L’outil mis au point par l’équipe de chercheurs est dénommé RoboVic pour « Robotic Victim ». Comme indiqué dans leur publication de recherche, il s’agit d’une extension d’OpenWPM, un framework muni d'une extension pour le navigateur Firefox et qui est utilisé pour la collecte des données de fonctionnement (requêtes HTTP et entêtes de réponses, fichiers JavaScript, etc.) du navigateur Firefox.

Les développements des chercheurs révèlent que les faussaires font un usage extensif de « réseaux de publicité malveillants ». Seulement, comme ils l’expliquent dans leur publication, les réseaux de publicités malveillants ne sont que le point final d’une longue chaîne de redirections.

Concrètement il est question pour les chercheurs de faire comprendre que lorsqu’un utilisateur clique sur une URL raccourcie, par exemple https://t.co/F5LFlt3sJ ou sur une URL s’inspirant d’un nom de domaine populaire (une URL falsifiée), par exemple https://twwitter.com (remarquez le deuxième w), il y a des possibilités qu’il soit redirigé vers un réseau publicitaire malveillant comme l’indique le modèle de leur système de détection et de collecte de données.


L’extension est composée de trois modules respectivement dénommés Crawler, Detector et Liveness Checker. Le module Crawler est chargé de naviguer à partir d’un ensemble d’URL qui lui sont fournies d’avance et de collecter les données sur les sites Web vers lesquels il est redirigé. Il fait usage des fonctionnalités d’OpenWPM qu’il étend aux besoins spécifiques du travail des chercheurs.

D’après la publication, le Crawler implémente un proxy Man-In-The-Middle (MITM) utilisé pour l’enregistrement : des requêtes générées par le navigateur et des réponses reçues par celui-ci, des clics de l’internaute sur les boîtes de dialogue pop-up. Il sauvegarde ensuite le code HTML de chaque document intégré à la page et l’URL finale. Des paramètres comme le texte dans les boîtes de dialogue d’alerte affichées à l’internaute et une capture d’écran du site publicitaire sont également sauvegardés.

Le module Detector identifie les pages Web susceptibles d’appartenir à des faussaires à l’aide de critères prédéfinis. Il vérifie : la présence de chaînes de redirection, la présence d’un numéro de téléphone, l’usage de fonctionnalités JavaScript intrusives comme des appels constants à la fonction alert pour afficher les boîtes de dialogue d’alerte ou l’usage de l’évènement unonload déclenché lorsqu’un utilisateur essaie de fermer l’onglet de la page publicitaire, la présence de certains mots clés.

Le module Liveness Checker est pour sa part responsable d’évaluer la durée de vie d’une page Web appartenant à des faussaires. Chaque URL reçue du module Detector est placée dans une base de données et passée au module Crawler sur une base journalière. D’après la publication, une arnaque est dite « active » si le Crawler renvoie une URL qui répond aux critères prédéfinis dans le module Detector. D’après la publication, la durée de vie d’une arnaque (évaluée en jours) est celle d’une page pour laquelle le module Crawler renvoie toujours un lien qui répond aux critères prédéfinis dans le module Detector.

Comme l’indiquent les chercheurs, l’extension RoboVic a été déployée sur trois sites différents : le campus de l’université de Stony Brook, le compute cloud d’Amazon et le cloud Linode. Sur chacun des sites, 10 000 échantillons de noms de domaine falsifiés et 3000 URL raccourcies ont été fournis à chacune des trois instances du modèle Crawler. Les 10 000 échantillons de noms de domaines falsifiés ont été obtenus à partir de données Alexa sur 200 sites Web populaires. Les 3000 URL raccourcies pour leur part l’ont été de 10 services de raccourcissement d’URL.

Les chercheurs indiquent par la suite qu’à partir du premier septembre 2015, sur une période de 36 semaines, RoboVic s’est attaqué à la résolution de 8,4 millions de domaines pour 15 To de données récoltées par le module Crawler. Sur les 8,4 millions de domaines, seuls 5 millions ont été effectivement résolus et 22 000 URL appartenant à 8698 domaines se sont avérées être utilisées par des faussaires.

La publication révèle que le phénomène prend tellement d’ampleur qu’entre avril et mai 2016, l’application a recensé plus de 1000 domaines (bande rouge ci-dessous) de ce type par semaine. L’analyse des données a également permis de recenser 1581 numéros de téléphone sur l’ensemble des 8698 domaines.


Une analyse des données générées par le module Liveness Checker a permis aux chercheurs de mettre en évidence que 27 % des noms de domaine recensés ne sont accessibles que pendant un jour après leur découverte par RoboVic. 43 % des domaines sont pour leur part accessibles pendant un maximum de 3 jours et 7 % pour une durée allant jusqu’à 40 jours.

Sources : publication, OpenWPM

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Microsoft porte plainte contre les escrocs de support technique pour usurpation, et avertit les consommateurs de l'ampleur des arnaques en fin d'année


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :
Offres d'emploi IT
Développeur d'APIs pour la production de métadonnées et données normalisées
Institut National de la Recherche Agronomique (INRA) - Provence Alpes Côte d'Azur - Avignon (84000)
HPC on-site system engineer TGCC (H/F)
Atos - Ile de France - Bruyères-le-Châtel (91680)
Concepteur développeur java j2ee h/f
ALTEN - Ile de France - Paris (75000)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil