Gael Profile picture
Mar 19, 2020 12 tweets 10 min read Read on X
1/12
Bonne illustration d'un travail d' #OSINT sur le #nomdedomaine pour identifier un réseau.

L'investigation provient de @fs0c131y suite à un tweet du député E.Bothorel.

Des arnaques en ligne surfent sur le #coronavirus

Qui gère ces sites ?

2/12
On constate depuis le début de la crise des vagues de dépôts de #nomdedomaine en lien avec le coronavirus (la plupart en vente). La nouveauté, c'est la combinaison d'une forte de demande sur certains produits (masque/gel) et du #dropshipping
Image
3/12
Partant des premiers sites signalés (dont ma-petite-pharmacie.fr), @fs0c131y a enquêté autour des #NDD


L'objectif est de :
1-récupérer un max d'infos et #footprint
2-identifier les #patterns
3-faire du reverse sur tout ça
4-Recommencer
4/12
#Whois : première surprise, les infos whois sont dispo.
Bidons mais dispo. L'email est la seule valeur sûre car elle permet de garder la main sur le NDD.
#Reversewhois : ça passe ! d'autres sites, et donc d'autres empreintes remontent
Image
5/12
#DNS : les sites se basent sur #cloudfare, impossible de sortir une info pertinente au regard du volume (faux positifs)
#SSL : Idem, le champs #SAN est rattaché à cloudfare, rien de pertinent
6/12
✅Footprint web : les sites sont référencés et ont une structure similaire. Avec la requête qui va bien, il est possible de remonter d'autre sites et noms de domaine Image
7/12
Après une rapide reconnaissance, une douzaine de domaines sont identifiés, et autant d'information whois.
Différents patterns (date d'enregistrement, registrar, MX) permettent de confirmer la consolidation ImageImage
8/12
Autant d'information whois, avec des #registrars différent .... et le risque arrive! Un des #whois est plus bavard que les autres.
9/12
Une société apparait finalement avec une identité à la clé. Ce qui permet de remonter d'autres structures (qui pourraient également être utilisées par la suite pour d'autres reverse whois) ImageImage
10/12
L'hypothèse du dropshipping semble confirmée : Image
11/12
Quelques recherches sur Google permettent d'obtenir d'autres info. Le nom du dirigeant apparait un peu partout sur internet pour des affaires diverses et variées...


12/12
Rester sous les radars restera toujours limité par l'automatisation (pattern) et le besoin d'être référencé (footprint) !
#Osint #domains #corona #scam

• • •

Missing some Tweet in this thread? You can try to force a refresh
 

Keep Current with Gael

Gael Profile picture

Stay in touch and get notified when new unrolls are available from this author!

Read all threads

This Thread may be Removed Anytime!

PDF

Twitter may remove this content at anytime! Save it as PDF for later use!

Try unrolling a thread yourself!

how to unroll video
  1. Follow @ThreadReaderApp to mention us!

  2. From a Twitter thread mention us with a keyword "unroll"
@threadreaderapp unroll

Practice here first or read more on our help page!

More from @GGtld

Dec 8, 2022
1/ TL;DR : La base de marques EU est monitorée par des tiers mal intentionnés depuis plusieurs années pour checker la disponibilité des NDD, déposer et revendre.

Du cybersquatting version industrielle avec l'implication d'un registrar US ?⤵️

#EUIPO #cybersquatting #drama Image
2/A savoir que l'office européen publie le jour même les DEMANDES d'enregistrement.

Résultat : la liste des demandes d'enregistrement de marque verbale est récupérée chaque jour, convertie en nom de domaine et testée sur l'extension .COM pour cybersquatter en masse les NDD dispo
3/On retrouve les mêmes patterns à chaque fois : enregistrement chez Dynadot le jour même et mise en vente du NDD via les marketplace du second marché avec un pseudo bidon pour faire croire à une vente générique de la plateforme (4995$ quand même..) ImageImage
Read 7 tweets
Apr 2, 2020
1/3 Il est possible de faire du #reversewhois sur (presque) tous les #NewgTLD ayant #Neustar en backend registry (+200 TLD).

➡️via le whois webservice, option advanced : https://whois.nic. TLD/#/advanced

#osint #whois #tipiak Image
2/3 Ce qui est étonnant, c'est que cela semble remonter les infos en base registre qui ne sont pas visibles dans le #whois.
Par exemple une recherche sur "facebook" en registrant remonte bien un de leur NDD, mais dont le whois est masqué : Image
3/3

La liste des TLD concernés et les liens whois webservice:
➡️https://pastebin. com/79p5vcu4
Read 4 tweets
Mar 10, 2020
Live #ICANN67 GAC: WHOIS and Data Protection Policy

Bilan sur le process EPDP en cours. La date du 20 juin 2020 annoncée pour les recommandations finales
#optimistes Image
L'ICANN continue de demander l'avis des différentes autorités de contrôle. RAS coté belge pour l'automatisation du process, et donc la création d'un SSAD Image
Process de divulgation avec des autorités publiques (police, etc...) Image
Read 6 tweets
Oct 3, 2019
Le #Centr publie de nombreux articles de fond à l'occasion de ses 20 ans. Un des derniers en date concerne l'évolution de l'écosystème des #ccTLD , des premières délégations en 1985 au système actuel.
L'occasion de revenir en arrière et redécouvrir les grandes étapes. Image
Comme ce mémo du Dr Jon Postel qui évoque le concept d'attribution équitable, considéré comme la base du "premier arrivé, premier servi" dans cet article archive.icann.org/en/cctlds/admi… ImageImage
Mais également la création de #ICANN en 1998 et les premières réflexions distinguant les #ccTLD des #gTLD qui aboutiront en 2003 à leur distinction au sein de l'ICANN et la création du ccNSO et GNSO (Name Supporting Organization )
RFC3071 : tools.ietf.org/html/rfc3071 Image
Read 4 tweets

Did Thread Reader help you today?

Support us! We are indie developers!


This site is made by just two indie developers on a laptop doing marketing, support and development! Read more about the story.

Become a Premium Member ($3/month or $30/year) and get exclusive features!

Become Premium

Don't want to be a Premium member but still want to support us?

Make a small donation by buying us coffee ($5) or help with server cost ($10)

Donate via Paypal

Or Donate anonymously using crypto!

Ethereum

0xfe58350B80634f60Fa6Dc149a72b4DFbc17D341E copy

Bitcoin

3ATGMxNzCUFzxpMCHL5sWSt4DVtS8UqXpi copy

Thank you for your support!

Follow Us!

:(