À ses débuts dans le monde de la piraterie, le Faussaire avait perçu très tôt l’aspect enrichissant des noms de domaines. Un espace auto-régulé par des acteurs naissants, pas de réglementations législatives, une influence grandissante d’Internet (The Place To Be) sur le commerce, tout indiquait le filon à exploiter. Premier arrivé, premier servi. Telle est la logique de ce lieu.
Comment exploiter au maximum cette manne ? En achetant avant les grandes sociétés les noms de domaines intéressants. Imaginez qu’un responsable de Microsoft oublie de renouveler le nom de domaine ‘microsoft.com’ et que vous le rachetiez. Combien pensez-vous qu’une telle entreprise est prête à payer pour le récupérer ? Plusieurs millions de dollars ? Il vaut mieux un bon accord qu’un mauvais procès. C’est plus rapide. Time is money.
Dans la réalité, Microsoft n’a pas perdu son nom de domaine. L’anecdote remonte à la fin des années 90 pour un autre de ses services, et celui qui l’a racheté voulez seulement accéder à ses mails. Il a ensuite rendu ce nom à la grande compagnie sans rien demander. Tant d’altruisme au pays du capitalisme, c’est à rendre malade tout commercial qui respecte le Dieu Dollar.
Le Faussaire ne connaît pas ce type de sentiment. À la fin des années 90, il achetait les noms de domaines se rapprochant des noms des grands groupes qui n’avaient pas encore leurs sites vitrines sur Internet. Ensuite, si ces derniers voulaient leur vitrine, il leur faisait payer cher la cession du titre. Il n’était pas le seul sur ce marché. Pour un investissement faible, le jeu pouvait rapporter gros.
Mais le filon n’a pas duré. Comme au Loto, il n’est pas possible d’acheter toutes les combinaisons possibles. Et les entreprises ont préféré communiquer sur d’autres noms de domaines en attendant la libération du nom. Même si les législations des différents pays n’ont que rarement condamné la pratique. Le gain n’était plus aussi intéressant. Alors le faussaire a réfléchi à d’autres stratégies.
L’information est le pétrole du XXIème siècle. Le dernier challenge à la mode des réseaux sociaux n’a que peu de valeurs. Par contre, le commerce est de plus en plus présent sur Internet. Les moyens de paiements circulent sur la toile. La question est ‘Comment les capturer ?’. La faille de tout système informatique se situe entre la chaise et le clavier.
Contrefaire un site internet est très facile. Ensuite, il faut rediriger les gens sur ce dernier. En principe, une campagne de mails ‘officiels’ devrait suffire. Bien sûr, le courriel doit reprendre la charte graphique de l’entreprise et ne comporter aucune faute. Pour rendre l’opération plus efficace, ajoutons un nom de domaine ressemblant dans le lien en retour. Qui a remarqué que accolées, les lettres ‘r’ et ‘n’ ressemblent à un ‘m’ : ‘rn’ ? (On parle de Typosquattage)
L’hameçon est prêt. Le fishing peut commencer. Et au début de l’année, je reçois ce mail :
L’émetteur du courrier serait une entreprise lyonnaise. En réalité, le protocole SMTP ne vérifie pas l’adresse de l’émetteur, ils auraient pu indiquer l’adresse contact@impots.gouv.fr cela n’aurait rien changé. Le ‘lien du formulaire’ correspond à un site Internet fantaisiste. Un whois renvoie en Californie sur un compte anonyme. Je pense qu’il s’agit d’un service d’étudiants qui a été détourné. Seul point positif de cette arnaque, ils savent se couvrir.
Quelques fautes et le nom du site officiel erroné. L’adresse mail à la place de la civilité, du nom et du prénom. La charte graphique non respectée. Si on prend aussi en compte les remarques techniques précédentes, la tentative d’extorsion est évidente pour un initié. Le Faussaire ne les recrutera pas. 2/10. Ils ont quand même réussi à passer des filtres anti-spam.
Il existe des solutions pour empêcher type d’arnaque. Le système anti-hameçonnage de votre fournisseur d’accès à Internet ou de votre messagerie peut avoir raison de cela. Le filtre anti-spam aussi. Mais ne vous reposez pas systématiquement sur la technologie, elle n’est pas infaillible.
Si vous recevez un mail bien constitué, sans faute d’orthographe, avec des noms de domaine et d’émetteurs en apparence corrects, sachez que, en principe, les institutions bancaires et gouvernementales ne mettent pas de liens directs dans leurs courriels.
Si on vous propose un remboursement, ne suivez pas le lien transmis mais allez directement sur le site officiel depuis votre navigateur (après une recherche sur un moteur si besoin).
Le Faussaire ne jouera pas ses cartes principales pour dérober quelques centaines d’euros à des particuliers. Ne soyez pas paranoïaques, mais restez vigilants. Dans le doute, il vaut mieux demander au geek de service.