Au cours du dernier mois, plus de 540 noms de domaine ont été enregistrés avec le mot «rouvrir» dans l’URL, mais ne le prenez pas comme un signe que la suppression des directives sur l’éloignement social est devenue un objectif général. Des centaines de ces sites Web sont conçus pour donner de la crédibilité aux manifestations anti-verrouillage, selon de nouvelles recherches, et beaucoup proviennent de sources suspectes ou de revendeurs cherchant à gagner de l’argent.

Dans un rapport publié vendredi, la société de renseignement sur les menaces DomainTools a déclaré avoir trouvé des centaines de noms de domaine liés à la campagne de “réouverture”, ce qui plaide largement contre les mesures de verrouillage de l’État adoptées pour limiter la propagation de le coronavirus nouveau. La campagne veut que les restrictions sur l’éloignement social cessent et que les entreprises rouvrent.

Des protestations se sont multipliées à travers le pays, certains Américains, mais loin d’être tous, sont frustrés par les directives de distanciation sociale qui ont bouleversé la vie et mis un terme à de nombreuses entreprises. Un certain nombre de ces manifestations ont été organisées sur Facebook, qui a déclaré qu’il supprimerait les événements qui inciteraient les gens à violer les lignes directrices de distanciation.

Le nombre de domaines liés aux efforts anti-verrouillage a commencé petit mais a fortement augmenté après que le président Donald Trump a envoyé une série de tweets “libérés” sur les États protestataires, a déclaré Chad Anderson, chercheur principal en sécurité chez DomainTools.

Anderson a dit qu’il était difficile de dire quels domaines sont associés à des causes politiques réelles et lesquels cherchent simplement à profiter du sentiment anti-verrouillage. Les chercheurs de DomainTools ont trouvé des centaines d’URL “rouvertes” qui ont été achetées spécifiquement pour être revendues et d’autres qui ressemblent à des campagnes de logiciels malveillants.

Les chercheurs ont également trouvé des preuves que certains des domaines ont été créés dans le cadre d’un effort “d’astroturfing”, une référence à des campagnes qui semblent être des mouvements populaires mais qui sont en fait créées artificiellement.

“Si une campagne d’astroturfing trouve suffisamment de soutien, elle peut se transformer en événements réels avec des conséquences réelles”, a déclaré Sean McNee, directeur de la recherche de DomainTools.

Graines d’astroturf

Le premier lot de domaines “rouverts” était un ensemble de sept URL provenant d’un groupe de contrôle anti-armes, a déclaré Anderson.

Il a trouvé sept sites Web “rouverts” enregistrés le 8 avril, dans des États comme l’Ohio, la Pennsylvanie, le Missouri et le Minnesota. Les sept pages semblaient représenter des groupes indépendants, mais elles étaient toutes enregistrées sous Aaron Dorr, un militant pro-gun de l’Iowa. Pris ensemble, ils créent l’apparence d’une large protestation contre les mesures de verrouillage, un village numérique de Potemkine.

Le Washington Post et NBC News ont détaillé comment la famille Dorr a créé des groupes Facebook avec des centaines de milliers de followers appelant à rouvrir l’économie et orienté les gens vers des sites Web.

Les sites Web ont presque exactement le même design, avec des noms de politiciens locaux échangés pour chaque État. Les sites ont été créés pour organiser des manifestations et redirigés vers des groupes de défense des droits des armes à feu.

NBC News a constaté que de nombreux sites Web hébergés par Dorr étaient conçus pour collecter les données des visiteurs, y compris les e-mails et les adresses personnelles.

“Ils visent à faire croire qu’il existe un groupe légitime à l’échelle de l’État pour ces mouvements”, a déclaré Anderson. “Cela donne une signification locale, car c’est à cela que les gens répondent.”

Dorr n’a pas pu être joint pour commenter.

Un sondage Reuters réalisé entre le 15 et le 21 avril a révélé que 72% des adultes américains soutiennent les mesures de maintien à domicile. Et un sondage Crumpe News a révélé que 70% des Américains disent que la distance sociale devrait continuer d’être la priorité n ° 1 du pays. Mais les campagnes astroturfées pourraient donner l’impression qu’il existe une objection répandue à l’éloignement des directives, a déclaré DomainTools.

Contre-accroupi

DomainTools a découvert que la plus grande partie des noms de domaine “rouverts” venait en fait d’un homme en Floride cherchant à contrer les efforts d’astroturf.

Les chercheurs ont découvert 98 domaines liés à une personne qui a enregistré la «réouverture» pour les 50 États, y compris différentes orthographes de chaque région. Un article du Florida-Times Union a identifié l’acheteur du domaine comme étant Michael Murphy, qui a déclaré qu’il achetait des dizaines d’URL de réouverture pour empêcher les manifestants anti-verrouillage de les obtenir. (Crumpe n’a pas pu trouver les coordonnées de Murphy.)

DomainTools a repéré 98 URL appartenant à Murphy, qui a déclaré au journal local qu’il avait acheté 200 noms au total et dépensé au moins 4 000 $. Un autre gros morceau de noms de domaine avec “réouverture” provient de revendeurs connus, a déclaré Anderson.

Ce sont des sites Web «rouverts» ciblant les restaurants, les cinémas et les sports, et tous sont mis en vente.

Anderson a déclaré que DomainTools avait déjà vu jusqu’à 6 000 nouvelles inscriptions par jour liées à COVID-19 et a commencé à en voir davantage liées à la campagne de “réouverture”.

“Les Domainers sont un type particulier de personnes qui repèrent toutes les chances qu’ils peuvent en tirer un profit rapide”, a déclaré Anderson. “Dans tous ces cas, il y aura des gens qui essaieront de choisir des domaines qu’ils peuvent vendre pour 5 000 $ qu’ils ont achetés pour 10 $ parce que quelqu’un veut démarrer un mouvement.”

Logiciels malveillants potentiels

Les chercheurs de DomainTools ont également trouvé un lot de liens enregistrés en masse spécifiquement avec des fautes de frappe pour la phrase «Rouvrir une entreprise américaine». Tous ces domaines ont été enregistrés en Chine et comportent des fautes de frappe, ce qui indique qu’ils sont configurés pour être des pages de phishing.

La typographie est une vieille astuce dans laquelle les gens achètent des URL pour des sites Web mal orthographiés et créent une page qui ressemble à la vraie. L’idée est de tromper les visiteurs qui font des fautes de frappe en entrant leurs informations d’identification sensibles sur ces pages frauduleuses.

Ces domaines ont tous des serveurs enregistrés auprès de Bodis, un service de publicité qui monétise les noms de domaine et a des liens vers une précédente campagne de logiciels malveillants du groupe avancé de menaces persistantes DarkHotel. Les APT sont des groupes connus derrière les cyberattaques. Le groupe DarkHotel APT est un groupe de piratage qui affecte principalement les victimes au Japon, à Taiwan, en Chine, en Russie et en Corée du Sud.

“Il semble que cela va être utilisé pour des campagnes de phishing”, a déclaré Anderson. “Il n’a pas encore été entièrement activé, mais il présente les caractéristiques d’un groupe DarkHotel APT.”

Les informations contenues dans cet article sont uniquement à des fins éducatives et informatives et ne sont pas destinées à des conseils médicaux ou de santé. Consultez toujours un médecin ou un autre professionnel de la santé qualifié pour toute question que vous pourriez avoir sur une condition médicale ou des objectifs de santé.