FAQ | Spécifications | Typosquatting Data Feed | WhoisXML API

FAQ

Version de la FAQ : 3.0 datée du 25 août 2020.

  • Manuel de Typosquatting Data Feed : ODT, DOCX, PDF.

Définition des données

Le "Typosquatting data feed" saisit au moins des groupes de 3 domaines DNS, de sorte que

  • chaque domaine du groupe apparaît le même jour dans le fichier de zone DNS
  • les noms de domaine du groupe sont similaires les uns aux autres.

L'apparition le même jour dans le fichier de zone signifie normalement que les domaines ont été enregistrés le même jour, proche de la date donnée. Par "similaires ", nous entendons la similarité par rapport à une caractérisation mathématique choisie et calculable par un algorithme.

La couverture de la recherche d'un tel domaine par le générateur de données est l'ensemble des domaines de premier niveau couverts par les flux de données quotidiens suivants :

Cet ensemble couvre presque tous les domaines génériques de premier niveau et un certain nombre de domaines de premier niveau de code de pays.

Raisons pour lesquelles un domaine apparaît dans le flux de données

Avertissement important : un domaine répertorié dans ce flux n'est pas nécessairement malveillant ou lié à une activité dangereuse. Néanmoins, il est vrai que si un domaine est répertorié :

  • Il existe au moins deux domaines supplémentaires dont le nom est similaire à celui du domaine donné, de sorte que le risque d'accéder à un autre domaine en raison d'une erreur de frappe ou d'une mauvaise compréhension du nom de domaine est accru.
  • Le domaine a été enregistré le même jour avec d'autres domaines portant le même nom.

Les raisons possibles pour lesquelles un domaine malveillant apparaît dans ce flux sont les suivantes :

  • Être inscrit dans une rafale à des fins de phishing, généralement pour ressembler au nom d'une marque.
  • Être enregistré en masse dans un groupe de noms de domaine générés par une machine afin d'être utilisé par des logiciels malveillants, par exemple comme serveur potentiel de commande et de contrôle.
  • Être enregistré pour le typosquattage de pages liées à d'autres pages ou marques connues (pour la collecte d'argent publicitaire, ou parfois pour le phishing).

Les raisons possibles de l'apparition d'un domaine bénin dans le flux sont les suivantes :

  • Résultant de la protection de la marque par le propriétaire d'un nom de domaine similaire,
  • Élément d'un ensemble de noms de domaine générés de manière algorithmique, utilisé par exemple pour l'équilibrage de la charge ou l'attribution de noms de domaine à des entités en vrac. 

Format des données

Annonces de publication de fichiers

Consultez les pages ci-dessous pour connaître les dernières versions des fichiers :

Applications recommandées

Les flux de données contiennent des domaines qui, bien que possiblement bénins, sont susceptibles de faire l'objet de typosquatting ou d'attaques de phishing et d'activités liées à des logiciels malveillants. Il est donc recommandé de les vérifier à deux reprises lorsqu'ils sont utilisés à quelque fin que ce soit (par exemple, lorsqu'ils sont ouverts dans un navigateur web) afin de préserver la cybersécurité.

La liste peut également être utile pour des études manuelles ou algorithmiques à des fins diverses :

  • Des enquêtes de sécurité informatique proactives pour révéler une future attaque de typosquatting ou d'hameçonnage. La mise en corrélation avec les listes noires de logiciels malveillants permet d'élargir l'ensemble des domaines compromis dans une liste. Il est également recommandé de vérifier le WHOIS et d'autres données techniques des domaines.
  • Enquêtes juridiques liées à des incidents de cybersécurité antérieurs.
  • Protection de la marque pour révéler ou empêcher l'utilisation abusive des noms de marque et des noms de domaine.
  • Recherche sur les tendances de l'activité d'enregistrement des noms de domaine, etc.

Consultez nos blogs sur la page web du produit pour plus de détails.