Au début des années 2000, une technique de tromperie informatique très répandue était celle du « typosquatting » (de « squatting », occupation illégale, et "faute de frappe", faute de frappe), soit une redirection de l'URL de l'utilisateur vers un site différent de celui auquel il souhaitait accéder. Il suffisait d'une faute de frappe commise lors de la saisie d'une adresse Internet dans le navigateur et nous étions transportés - malgré nous - vers un site contenant des virus informatiques ou d'autres formes d'infection numérique. Les cybercriminels ont enregistré des domaines tels que cvorriere.it refublica.it ou yuotube.com pour tromper les malheureux en leur faisant croire qu'ils se trouvaient sur les pages qu'ils s'attendaient à trouver, mais qui étaient pourtant prêts à inoculer des logiciels malveillants ou à télécharger des scripts déguisés en mises à jour officielles de celui-ci. ou ce composant logiciel. Au fil du temps, des mesures ont été prises par les entreprises impliquées qui, bien qu'elles n'aient aucune responsabilité, ont pris des mesures contre ceux qui avaient enregistré ces domaines si similaires au nom de leur marque ou de leur journal. C'était toujours la même personne qui prenait possession de tous ces noms de domaine : son nom était « Aleksejs Bojarovs » et la société chargée de maintenir les serveurs en vie s'appelait « Prolat », basée en Allemagne (plus tard déménagée en Lettonie). L'organisation ciblait des entreprises privées et des journaux tels qu'Alitalia, Tiscali, Libero, La Gazzetta dello Sport, Pagine Bianche, Trenitalia, Enel et même Google (le faux domaine enregistré était "Gocgle", très facile à confondre visuellement).
Le typosquatting exploitait non seulement les fautes de frappe, mais aussi - par exemple - l'utilisation d'un autre "domaine de premier niveau" (dernière partie du domaine après le point). Un cas frappant est celui de Whitehouse.com au lieu de whitehouse.gov, créé à l'origine comme un site pour engager des discussions non censurées sur les politiques du gouvernement américain, puis enrichi de contenu pour adultes pour le rendre plus rentable. Une tromperie aux finalités certes différentes de l’inoculation de virus, mais qui reste une occupation abusive d’un lieu numérique destiné à avoir d’autres finalités. En fait, il n'était pas illégal - comme ce n'est pas le cas aujourd'hui - d'enregistrer un nom de domaine disponible et non directement lié au nom d'une personne ou d'une entreprise. L’idée de dissimuler complètement toutes les fautes de frappe les plus probables et de préparer des logiciels malveillants prêts à être téléchargés se situe à la frontière entre la légalité et le crime.
À ce jour, le typosquatting semble être passé de mode, ou plutôt : les criminels ont jugé bon de se reconvertir vers des activités similaires à celles qu'ils exerçaient auparavant, mais plus rémunératrices et encore moins suspectes. Au lieu d'enregistrer des noms de domaine avec des fautes de frappe, nous essayons d'enregistrer les noms réels, sans les voler, mais en prenant, par exemple, différentes déclinaisons du nom principal, sans aucun malentendu. Les stratagèmes sont différents : l'un est exploité oubli par les responsables du renouvellement du nom de domaine, ils sont achetés déclinaisons locales différent (.it, .eu, .es, .de, .fr), domaines pluriels ou avec tirets entre les mots composés (ou sans, s'il est présent dans le domaine d'origine), puis une tentative est faite pour les revendre au propriétaire légitime. Le port est également très populaire les domaines sont vendus aux enchères au plus offrant via un site créé exprès, agrémenté de citations, plus ou moins fausses. Ce type d'activité est très similaire à celui de cybersquattage, c'est-à-dire celui de s'approprier des noms de domaine correspondant aux marques commerciales d'autrui ou aux noms de personnes célèbres afin de réaliser un profit sur le transfert de propriété ou des dommages à ceux qui ne peuvent pas en user, à la différence que, dans le premier cas, le les propriétaires du nom disposent déjà de leur propre domaine Internet et d’un site Web fonctionnel.
Cependant, si jusqu'à présent les victimes ont toujours été le maillon faible de la chaîne, c'est-à-dire les utilisateurs inattentifs, les paresseux, ceux qui utilisent les systèmes informatiques sans savoir exactement comment ils fonctionnent, aujourd'hui - près de 20 ans plus tard - le typosquatting a décidé de revendiquer victimes, même parmi les utilisateurs les plus avisés et les plus experts, comme les développeurs. Fin février, en effet, le groupe d'experts en cybersécurité "Unit42" de la société "Palo Alto Networks" a identifié une nouvelle variante du virus cheval de Troie (cheval de Troie) "Bifrost» qui touche désormais les systèmes Linux/Unix, notoirement les plus utilisés par les professionnels. La nouvelle version de ce cheval de Troie, appelée «Brifose», exploite le domaine download.vmfare.com (qui pointe vers un serveur à Taiwan), très similaire au légitime download.vmware.com (VMware est une société fusionnée avec Dell Technologies qui développe des logiciels pour la création de machines virtuelles) . La nouvelle donne à Bifrost un bilan négatif, puisque - identifié pour la première fois en 2004 - il est actuellement l'un des "chevaux de Troie d'accès à distance" (Rats) les plus anciens. Après l'infection, le virus permet la collecte d'informations sensibles sur la victime : des données telles que le nom d'hôte et l'adresse IP. De plus, il est possible d'exécuter du code sur l'appareil concerné.
Une autre nouvelle inquiétante concernant le retour du typosquatting, toujours avec les développeurs dans le collimateur, est celle des logiciels malveillants propagés via des packages de langages de programmation. Python. Il s'agit cette fois des « state hackers », c'est-à-dire du groupe nord-coréen « Lazarus », littéralement financé et soutenu par le gouvernement de Corée du Nord. Le groupe a publié quatre packages malveillants dans le référentiel « Python Package Index » (PyPI) dans le but d'infecter les systèmes des développeurs. Les packages sont appelés "pycryptoenv", "pycryptoconf", "quasarlib" et "swapmempool", mais ils ne contiennent pas ce qu'attend un développeur (pycrypto est un package Python populaire pour le chiffrement, quasar est un framework pour le développement front-end). Deuxième JPCERT, premier groupe de cybersécurité du Japon, les colis découverts font partie d'une campagne, décrite pour la première fois par l'entreprise par des experts Phylum (une autre compagnie sécurité informatique) en novembre 2023, qui utilisait des modules npm (gestionnaire de packages de nœuds, c'est-à-dire des packages logiciels auto-installables) sur le thème de la crypto-monnaie pour distribuer le malware Comebacker.
Il convient de noter que certains domaines soumis à le typosquattage, corrigés par des actions en justice intentées par les parties intéressées et des corrections automatiques par diverses extensions de navigateur, reviennent désormais pour distraire les internautes, via la redirection vers de fausses pages de publications enregistrées ou des pièges pour inciter les utilisateurs à télécharger des logiciels malveillants. Par exemple, le domaine youtube.com (n'essayez pas de le taper !) mène désormais à une destination aléatoire parmi celles mentionnées, mais n'est pas signalé par le navigateur comme activité suspecte.
