Archives par mot-clé : scareware

Contrefaçon, Cybersécurité, Entreprise, Propriété Industrielle, Securite informatique

La dérive des domaines parqués, nouvel angle mort cyber

Longtemps réduits à des pages de publicité sans enjeu, les domaines parqués basculent vers une fonction d’aiguillage massif vers l’arnaque, le malware et l’illégal.

Une étude d’Infoblox décrit un renversement net du risque associé aux domaines parqués. Alors qu’ils étaient surtout perçus comme des sites « oubliés » affichant des annonces, ces domaines serviraient désormais de relais d’attaque. Plus de 90 % des visites observées, soit plus de neuf cas sur dix, aboutissent à des redirections vers des arnaques, des logiciels malveillants, des contenus illicites ou des malwares. Le mécanisme central s’appuie sur des systèmes publicitaires dits de direct search, ou zero-click, qui peuvent réorienter l’internaute sans action. La complexité de l’écosystème rend l’abus difficile à signaler.

Quand le « parking » devient une infrastructure de redirection

Le domaine parqué appartient à l’archéologie vivante du Web. Un nom de domaine est enregistré, mais le site n’est pas développé. À la place, une page de parking s’affiche, typiquement alimentée par de la publicité. Cette pratique a longtemps été traitée comme un bruit de fond : une conséquence banale de la spéculation sur les noms, des projets abandonnés, ou de stratégies défensives autour de marques. L’étude soutient que ce décor a changé de nature. Ce qui comptait surtout comme un résidu numérique se transformerait en vecteur fiable pour des opérations malveillantes.

Le point de rupture, tel que présenté, se situe dans la manière dont les visiteurs sont monétisés. Plus de 90 % des visites dirigées vers des domaines parqués finissent désormais sur des pages à risque. Le chiffre, pris au pied de la lettre, signifie qu’au-delà de neuf visites sur dix se traduisent par une redirection vers des arnaques, des scarewares, des contenus illégaux ou des logiciels malveillants. L’intérêt de ce résultat, s’il se confirme dans la durée, est moins la surprise statistique que le signal opérationnel : l’utilisateur n’atterrit plus sur une page publicitaire statique, il est « emmené » ailleurs, souvent immédiatement.

Un basculement dû à l’exploitation d’un mécanisme publicitaire qualifié de direct search, aussi décrit comme zero-click. La promesse implicite est simple : un internaute arrive sur un domaine parqué, et la chaîne publicitaire choisit une destination finale supposée pertinente, sans exiger de clic. En pratique, cette absence d’action humaine est précisément ce qui intéresse un acteur malveillant. Elle réduit les frictions, accélère le parcours et complique l’enquête, car l’infection ou l’arnaque se déclenche après une redirection automatique, pas après un choix explicite de l’utilisateur.

Le rapport insiste aussi sur un paradoxe technique. Les plateformes de parking et les grands intermédiaires publicitaires déploient des protections antifraude. Ces garde-fous, conçus pour filtrer le trafic artificiel, les robots ou les campagnes trop visibles, peuvent produire un effet inattendu : offrir aux cybercriminels des moyens supplémentaires pour camoufler leurs manœuvres. Autrement dit, une logique de conformité publicitaire et de lutte contre la fraude pourrait, involontairement, améliorer la discrétion de campagnes abusives en leur permettant de se fondre dans des flux considérés comme « normaux » par l’écosystème.

 

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

  
DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

Le direct search, ou comment capter l’attention sans clic

L’intérêt cyber du direct search ne se limite pas à la redirection. Il touche à la mesure, au ciblage et à l’attribution, trois piliers des systèmes publicitaires modernes. Un schéma où l’internaute, venu parfois par erreur ou par habitude, est pris en charge par une mécanique d’enchères et d’orientation. La page de parking devient un sas : elle ne présente pas un contenu, elle aiguillonne vers un autre domaine, choisi par un « annonceur ». Le mot compte, car l’étude affirme que ces annonceurs diffusent fréquemment, non pas des produits légitimes, mais des escroqueries et des malwares.

Le zéro clic a aussi un autre effet : il réduit la capacité de l’utilisateur à se rendre compte qu’il a « changé de site ». Dans une séquence rapide, surtout sur mobile, l’internaute peut ne retenir qu’un seul geste, entrer une adresse, puis se retrouver devant une interface agressive, une fausse alerte de sécurité, un service illégal, ou un téléchargement piégé. Pour le renseignement de sécurité, l’enjeu est la traçabilité. Plus la chaîne est courte et automatique, plus il est difficile de distinguer l’accident (mauvaise saisie, domaine expiré) de l’abus systémique.

Des évolutions récentes des politiques de Google « semblent » avoir accru l’exposition des utilisateurs. Le texte ne détaille pas ces changements, mais la formulation est importante : le risque ne viendrait pas uniquement des attaquants, il serait amplifié par des ajustements de règles, de filtrage ou d’acceptation, côté plateformes. Dans l’économie du Web, une modification de politique, même bien intentionnée, peut déplacer la pression d’un endroit à un autre. Pour les acteurs malveillants, il suffit souvent d’une fenêtre de compatibilité pour industrialiser une tactique.

« Il y a dix ans, les recherches montraient que les domaines parqués étaient majoritairement inoffensifs et représentaient tout au plus un bruit de fond numérique » explique Renée Burton, vice-présidente d’Infoblox.  Aujourd’hui, nos travaux démontrent qu’ils sont devenus presque exclusivement malveillants. La transformation est frappante : ce qui n’était qu’un bruit de fond sur Internet est désormais une menace persistante, omniprésente et largement sous-estimée. » Pour une lecture cyber, cette déclaration pose une hypothèse forte : l’espace publicitaire associé aux domaines parqués ne serait plus marginalement pollué, il serait structurellement retourné.

Ce type de bascule intéresse aussi le renseignement au sens large, parce qu’il indique une capacité d’adaptation. Les attaquants ne se contentent pas d’exploiter des failles logicielles, ils réinvestissent des mécanismes économiques. Quand l’accès à une victime potentielle passe par une chaîne publicitaire, la défense doit combiner des réflexes de lutte anti-fraude, des contrôles DNS et une compréhension fine des redirections. La menace se situe moins dans la page visible que dans l’orchestration qui suit.

Trois portefeuilles de domaines, des tactiques avancées, un signalement quasi impossible

L’étude met en avant trois grands détenteurs de portefeuilles de domaines, décrits comme des « domainers », associés à des tactiques évoluées. Ce point compte, car il déplace l’attention du domaine isolé vers la capacité industrielle. Un acteur qui contrôle un large inventaire de noms peut tester, segmenter, puis optimiser. Cela ressemble moins à une campagne opportuniste qu’à une chaîne d’approvisionnement, avec des variantes selon la géographie, le terminal, l’heure, ou le profil supposé du visiteur.

Dans un contexte de parking et de redirections, le profilage des internautes peut servir à choisir la charge utile : afficher une page publicitaire anodine à un enquêteur, mais envoyer un utilisateur « ordinaire » vers une arnaque plus agressive. Cette logique de double visage est un classique de l’évasion. Elle rend les reproductions difficiles : deux visites successives peuvent produire deux destinations différentes, ce qui complique l’établissement d’une preuve stable.

Le rapport cite aussi l’exploitation de lookalike/typo squatting domains. L’idée est d’utiliser des noms qui ressemblent à des marques ou à des services connus, sans être identiques. Dans la pratique, la ressemblance suffit parfois à capter une fraction du trafic, surtout quand l’utilisateur tape vite, sur un clavier mobile, ou suit un lien tronqué. La collecte de mails via des fautes de frappe. Là encore, la logique est d’extraire de la valeur d’un écart minuscule. Une adresse saisie avec une erreur peut envoyer un message vers un domaine contrôlé par un tiers, offrant une opportunité de collecte, de phishing secondaire, ou de revente.

L’étude mentionne aussi l’usage de techniques DNS rares comme le fast flux. Le fast flux consiste à faire bouger rapidement les adresses IP associées à un nom, afin de compliquer le blocage et l’attribution. Si ce mécanisme est réellement observé dans l’écosystème des domaines parqués, il indique une maturation. On n’est plus seulement sur de la publicité douteuse, mais sur des méthodes historiquement liées à la résilience d’infrastructures malveillantes.

Pour finir, une difficulté centrale apaprait clairement : chaque acteur viserait des marques et des publics différents, ce qui rend la menace diffuse. Cette dispersion a un effet de brouillard. Une entreprise qui surveille sa marque peut détecter certains typo squatting, mais pas l’ensemble. Un utilisateur peut être touché une fois, sans que cela produise une vague visible. Les équipes de réponse à incident, elles, risquent de voir des cas isolés, sans relier immédiatement le symptôme, une redirection depuis un domaine parqué, à une infrastructure plus large.

La phrase la plus opérationnelle, dans ce cadre, concerne le signalement. Selon l’étude, l’empilement d’intermédiaires et la sophistication des redirections rendent la dénonciation des abus « quasiment impossible ». Pour la cybersécurité, ce n’est pas qu’un problème administratif. C’est un indicateur de surface d’attaque durable. Si la boucle de remontée est lente, fragmentée, ou opaque, l’attaquant bénéficie d’un temps d’exploitation long. Et dans un système publicitaire, la vitesse joue pour celui qui sait itérer, mesurer et ajuster.

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres
Cybersécurité, Microsoft, Mise à jour, Securite informatique

Edge muscle sa défense contre les arnaques scareware

Microsoft déploie un nouveau détecteur dans Edge capable d’identifier et bloquer les sites frauduleux en temps réel, renforçant la protection offerte par Defender SmartScreen.

Le navigateur Edge intègre désormais un modèle d’apprentissage automatique local capable de reconnaître instantanément les pages de type scareware. Ces attaques visent à effrayer les internautes par de faux messages d’alerte, les incitant à contacter un prétendu support technique. Grâce à ce système, Edge alerte SmartScreen avant même qu’un site malveillant soit répertorié dans la base de données, réduisant considérablement le délai de réaction face aux escroqueries en ligne.

Un apprentissage automatique au cœur du filtrage

Jusqu’ici, SmartScreen bloquait les pages signalées uniquement après leur ajout à une liste noire centralisée. Le nouveau bloqueur de scareware intégré à Edge modifie cette logique. Le modèle local analyse le comportement et les éléments visuels d’un site pour en déduire son niveau de dangerosité. Aucune donnée personnelle ni capture d’écran n’est transmise. Seules les informations techniques nécessaires à l’évaluation sont partagées avec Microsoft.

En cas de détection, Edge interrompt le mode plein écran, coupe les sons intempestifs et affiche un avertissement accompagné d’une miniature du site. L’utilisateur peut alors fermer la page ou poursuivre à ses risques. Ce processus vise à neutraliser les effets psychologiques de panique souvent exploités dans ce type de fraude.

Ne manquez pas nos dernières actualités sur Google Actualités. Ajoutez-nous comme source préférée sur Google. Suivez-nous

La fonctionnalité, intégrée à Edge version 142, est pour l’instant désactivée par défaut. Microsoft prévoit de l’activer automatiquement pour tous les utilisateurs bénéficiant déjà de SmartScreen dans les semaines à venir. Les internautes peuvent aussi signaler manuellement des sites suspects afin d’améliorer la base de détection.

Selon Rob Franco, responsable de la sécurité pour l’équipe Edge, cette technologie a déjà démontré son efficacité : « Lorsque Scareware Blocker a détecté pour la première fois une arnaque utilisant de faux messages de la “police”, SmartScreen et Google Safe Browsing n’étaient pas encore parvenus à la bloquer. Ce nouveau détecteur permet aux utilisateurs d’être avertis immédiatement, avant que la campagne frauduleuse n’ait la possibilité de se propager. »

Vers un renforcement global de la lutte anti-fraude ?

Avec cette approche locale et réactive, Microsoft renforce la dimension comportementale de la défense contre les arnaques en ligne. L’entreprise cherche à limiter la dépendance aux listes centralisées, souvent mises à jour avec retard. L’intégration de l’intelligence artificielle au niveau du navigateur permet d’identifier des signaux faibles comme l’usage de pop-ups, la redirection forcée ou les messages alarmistes.

Cette évolution reflète une tendance plus large : la protection proactive en périphérie, au plus près de l’utilisateur. Dans un écosystème où les attaques se multiplient et se renouvellent sans cesse, la capacité à détecter une tentative de fraude avant sa diffusion massive devient un enjeu stratégique pour les éditeurs de navigateurs.

La combinaison entre modèle local et SmartScreen en nuage pourrait marquer une nouvelle étape dans la détection des arnaques d’ingénierie sociale. La question reste de savoir si cette stratégie hybride pourra s’étendre à d’autres vecteurs d’attaque, comme les extensions malveillantes ou les campagnes publicitaires injectées.

Boostez votre cybersécurité avec notre service de veille ZATAZ.
Alertes, surveillance et infos exclusives pour anticiper les menaces. Découvrir le service

Sources