Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

RSA : Rapport Mensuel sur la Fraude en Ligne – Janv. 2007

février 2008 par centre de commande anti-fraude de RSA

La fraude en ligne évolue constamment. Parmi les principales menaces, les technologies de « phishing » et de « pharming » représentent les vagues de criminalité organisée les plus sophistiquées et innovantes menaçant le commerce en ligne. Les fraudeurs disposent en effet aujourd’hui de nouveaux outils et d’une réactivité d’adaptation sans précédent.

Les statistiques mentionnées dans ce rapport sont extraites du référentiel anti–phishing constitué par le Centre de commande AFCC dans le cadre de ses activités ; elles permettent de réaliser de brèves analyses et des représentations graphiques des tendances – étayées par l’expertise exclusive des analystes du Centre AFCC.

Au sommaire ce mois-ci…

Les premières attaques de Phishing basées sur « Storm Botnet »

Début janvier, le centre de commande anti-fraude de RSA détectait plusieurs attaques de Phishing utilisant comme Proxy un réseau de robots IRC dénommé « Storm Botnet ». Ces attaques ciblaient des établissements bancaires de premier plan du Royaume-Uni à travers deux serveurs Proxy livrant les contenus aux victimes provenant d’un « vaisseau amiral ». Le réseau de dissimulation – de type « fast-flux » – véhiculant l’attaque était Storm Botnet, permettant notamment une « rotation » fréquente des adresses IP des serveurs de Proxy auxquels accèdent les victimes. Le domaine de Phishing renvoyait en effet à une adresse différente à chaque tentative d’accès et la plage d’adresses IP utilisée par les serveurs de Proxy était relativement étendue.

Dans les attaques Storm, les serveurs de nom sont enregistrés au sein du domaine – et non à l’« extérieur ». Par exemple : si le site de Phishing est hébergé sur www.stormphish. com/, le serveur de nom de ce domaine sera ns1.stormphish. com. Cette structure empêche les services de lutte contre la fraude d’identifier les autres domaines « servis » par le même réseau de Proxy – contrairement à d’autres réseaux d’hébergement (phishing, code malveillant, etc.) où les domaines additionnels peuvent être tracés.

Dans toutes ces attaques, les domaines utilisés étaient (a) tout à fait fiables et (b) conçus dans un format identique pour perpétrer des attaques contre différents établissements bancaires. Pour deux d’entre eux, les domaines étaient très similaires – indiquant clairement une attaque provenant d’un seul groupe.

Qui est derrière ces attaques ?

Il est très difficile d’identifier les auteurs de ces attaques qui peuvent avoir été lancées par les propriétaires du réseau Storm – qui qu’ils soient, sachant qu’il ne s’agit pas forcément d’un seul groupe de criminels… Les attaques peuvent également avoir été lancées par des groupes louant les services du réseau Storm… Par le passé, nous avons déjà rencontré des réseaux d’hébergement fast-flux en location ; il est tout à fait possible que nous soyons dans cette situation et que Storm Botnet soit désormais commercialisé auprès de groupes criminels en tant que service d’hébergement et de dissimulation parfaitement étanche et « à l’épreuve des balles ».

Comment lutter contre ces risques d’attaques ?

Comme avec d’autres attaques de Phishing dissimulées par un système fast-flux, le centre AFCC a focalisé ses efforts sur le « délistage » des domaines malveillants – plutôt que sur les adresses IP utilisées pour l’hébergement des attaques. Avec ce type d’attaque, l’autre direction de lutte consiste généralement à tracer les serveurs de contenus – « vaisseau amiral » de l’attaque.

En saisissant directement les adresses IP des serveurs de Proxy dans un navigateur, la signature pointe vers un site d’infection Storm Botnet. Il s’agit d’une signature bien connue de nombreux ordinateurs appartenant à ce réseau de robots IRC – récemment utilisé pour infecter des utilisateurs avec le logiciel malveillant Storm. Cette information nous a aidés à déterminer qu’il s’agissait bien d’attaques Storm (voir copie d’écran lors de l’accès à ces adresses IP).

Jusqu’à présent, le réseau Storm n’avait jamais été associé à des attaques de Phishing ; il connaît une croissance constante par accumulation de plus en plus de robots (« bots ») sans indication précise de leur fonction. En phase d’activité, le système est généralement associé à des activités de Spam, des attaques DDoS ou de « simples » infections. Il est également resté en sommeil pendant de longues périodes. C’est la première fois que des attaques de Phishing sont clairement liées à – et hébergées par – les ordinateurs du réseau Storm.

Ces attaques démontrent que le réseau Storm Botnet a la capacité de croître pour devenir une menace potentielle de Phishing bien plus importante qu’il n’est aujourd’hui. Dans un scénario défavorable, Storm pourrait en effet devenir l’infrastructure sous-tendant une nouvelle vague d’attaques de Phishing de type fast-flux. L’infrastructure de robots est bien établie et administrée ; il ne tient désormais qu’à ses propriétaires de choisir de l’utiliser pour des campagnes étendues de Phishing ou de diffusion de logiciels malveillants ou de le mettre à la disposition d’autres groupes de criminels. Sa capacité à fonctionner comme réseau de Phishing avec dissimulation de type fast-flux a bien été démontrée lors de ces récentes attaques – dont c’était vraisemblablement la vocation.

Ecran affiché par le navigateur en cas de saisie directe de l’adresse IP du serveur de Proxy

Analyse de tendance

La distribution des entités attaquées est relativement constante depuis juin 2007 et les marques américaines restent largement prédominantes. Pour le douzième mois consécutif, les établissements britanniques occupent la seconde position avec 15 % des entités attaquées. Il est intéressant de constater que l’Argentine fait son entrée au palmarès en janvier, démontrant que le Phishing s’étend désormais à de nouveaux territoires (en l’occurrence Amérique Centrale et du Sud).

Le nombre de marques attaquées a légèrement baissé en janvier et reste bien inférieur aux mois record de 2007. En janvier 2008, le centre AFCC de RSA a détecté des attaques contre 22 établissements financiers qui n’avaient jamais été attaqués auparavant. Ces résultats sont conformes aux tendances constatées au cours des trois derniers mois.

Le pourcentage d’attaques hébergées aux États-Unis continue à fluctuer – et remonte en janvier après avoir chuté en décembre. Néanmoins, les États-Unis restent en tête avec une avance encore confortable. Hong Kong reste dans le « Top 3 » comme ce fut le cas très fréquemment en 2007. Les Philippines, ayant hébergé un grand nombre de domaines « Rock Phish » en décembre, ne figurent plus dans la liste ce mois-ci. Le Royaume-Uni, la France, l’Allemagne et la Corée du Sud figurent toujours dans la liste à des taux similaires au mois précédents.


Qu’est-ce que le phishing ?

Forme d’usurpation d’identité par laquelle, un pirate utilise un e-mail d’allure authentique afin de tromper son destinataire pour que ce dernier donne de manière consentante ses données personnelles, telles qu’un numéro de carte de crédit, de compte bancaire ou de sécurité sociale.

Qu’est-ce que le pharming ?

Installer un site factice contenant des copies de pages d’un site officiel dans le but de recueillir des informations confidentielles sur les utilisateurs du site officiel. En piratant les serveurs DNS (Domain Name Server) et en changeant les adresses IP, les utilisateurs sont dirigés automatiquement sur des sites fictifs

Qu’est-ce qu’un cheval de Troie ?

Programme apparemment sans danger contenant un code malveillant qui permet la récupération, la falsification ou la destruction de données




Voir les articles précédents

    

Voir les articles suivants