paperbay.org Mastodon - https://framapiaf.org/users/Killator/statuses/113050447680895325
🚨Pour info y a un petit malin qui a réservé le domaine qouv.fr.
En fonction de la police d’écriture c’est indiscernable de gouv.fr (le domaine officiel du gouvernement français). Attention donc aux mails et au texto qui renvoient vers un lien gouv…
Le potentiel de nuisance est fort 😕
Ce n’est pas simple, mais une stratégie basée sur les variations de domaines existants est possible pour une vérification manuelle, si cela aboutit à un ‘hit’.
On ( @circl ) a une librairie libre Python qui permet de calculer les variations de typosquatting possibles:
https://github.com/typosquatter/ail-typo-squatting
Oui c’est aussi un package PyPI ail-typo-squatting
@circl@033max@un_ouragan@Killator
dans le cas mentionné, cela serait impots.gouv.fr
@circl@033max@un_ouragan@Killator
Pour les marques, c’est une autre question et pas vraiment technique.
Maintenant, quand je vois des domaines apparaître sur LookyLoo.circl.lu avec ‘ameli’, ‘sms’ et ‘alert’ dans le nom de domaine, cela me semble plus facile à détecter… mais je connais le volume provenant des registries via les registrars, et ce n’est pas le plus simple.
@circl@033max@un_ouragan@Killator
Oui, je le sais très bien. Malheureusement, cela facilite l’hébergement de phishing ou de scams pendant plusieurs jours avant qu’un takedown ait lieu. Pour les CERTs, nous jouons au chat et à la souris depuis des années, entre les enregistrements WHOIS masqués à cause du RGPD et les domaines éphémères… Nous faisons de la détection automatique, mais le phishing est souvent actif pendant quelques heures ou jours.