Sur les forums "underground", des données personnelles volées sont proposées à la vente et accompagnées d’une multitude d’outils et services qui permettent à d’autres cybercriminels de tirer profit de ces informations. Ces services et outils vont des services frauduleux de type "centre d’appel" aux kits d’infection par phishing[1] et trojans[2].

Si la vente de données volées et d’outils et services cybercriminels n’est pas nouvelle, le nombre croissant des forums "underground" et leur facilité d’accès est en revanche à prendre en compte.

Greg Singh, Responsable engineering chez RSA, la division sécurité d’EMC, estime que le développement de ce marché "underground" représente une menace très sérieuse pour les consommateurs et les entreprises. “Il y a une myriade de forums de cette sorte opérant à travers le monde qui commercialise des données pour un coût qui peut sembler marginal à certains, mais qui représente potentiellement de lourdes pertes pour les consommateurs, les banques et les associations de carte de crédit ” précise Greg Singh.

“En effet, divers produits et services de fraude se vendent sur le marché noir pour moins de 40 € : ils peuvent être la source de pertes de milliers d’euros et avoir des conséquences pires pour le consommateur, car qui peut mettre une étiquette de prix sur l’atteinte à la vie privée ?” Rajoute-t-il.

Le tableau ci-dessous recense les prix auxquels des biens et services sont actuellement vendus sur ce marché noir, selon les informations révélées par le rapport de fraude en ligne du mois d’août de RSA. Comme les prix varient, la liste propose une gamme de prix plutôt qu’un cours absolu du marché et est une véritable photographie ce que les cybercriminels achètent et vendent illicitement pour réaliser leurs opérations de fraude, tant en ligne que dans le monde réel. Les prix sont en dollars US.

Article vendu
Prix "underground"

Ensembles de données CVV2

Un ensemble de données CVV2 comprend pour une carte de crédit :

– Le numéro d’identification à 16-chiffres (16 Digit PAN),

– Le code CVV2 (ou code de vérification de valeur, qui est en général un code à 3 chiffres imprimé au verso des cartes),

– La date d’expiration,

– L’adresse de facturation et le nom.

Les fraudeurs achètent ce groupe de données pour commettre des fraudes dans le domaine du commerce électronique (là ou la carte n’est pas présente physiquement). Ils achètent des marchandises en ligne qu’ils revendent ensuite pour de l’argent comptant.

1.50 $ - 3.00 $

Login d’accès à la banque en ligne

Les login correspondent au nom utilisateur et mot de passe d’un consommateur, auxquels peuvent s’ajouter parfois d’autres informations complémentaires sur ce dernier.

Après l’obtention de ces habilitations, les fraudeurs essayent en principe d’encaisser l’agent d’un compte en effectuant des transferts vers des comptes de "mules" qu’ils contrôlent.

50 $ - 1,000 $ par compte, selon le type de compte et son solde

Appels téléphoniques frauduleux

Réalisés par les centres d’appels des fraudeurs, les services téléphoniques frauduleux sont offerts aux cybercriminels comme un moyen de surmonter les barrières liées à la langue.
10 $ - 15 $ par appel

Les prix varient selon la destination de l’appel.

Kit cheval de Troie "Zeus"

Avec un taux d’infection de milliers d’ordinateurs par jour, des fonctionnalités avancées, un code évoluant rapidement, de nouvelles variantes et des ressources de communication détectées et analysées par RSA de façon permanente, c’est la famille de Trojans la plus fréquemment rencontrée.

Kit Zeus : $3K - $4K

Les options :

Backconnect 1500$
(fonction permettant de prendre en main la machine infectée immédiatement après l’ouverture de la session sur le site de banque en ligne.)

Grabber sous Firefox 2000$
(logiciel qui accapare et copie toutes vos données ou celles présentant des caractéristiques prédéfinies.)

Jabber (IM) Chat plugin 500$

(Extension pour dialoguer via messagerie instantanée Jabber)

Module privé VNC 10K $
(Virtual Network Computing)

Support Windows 7/Vista 2000$

*Note : des copies non autorisées de variantes de Zeus peuvent être trouvées dans le marché noir à $800

SSN / DOB / MMN

Ces détails personnels sont très souvent utilisés par les banques pour authentifier l’identité d’un individu sur les canaux de la banque en ligne et de la banque par téléphone. Ils sont également utilisés par certains services de transfert d’argent.
1.50 $ - 3 $ par requête

MMN 5 $ - 6 $

SSN 1 $ - 3 $

DOB 1 $ - 3 $

Track2 Data (Données Trace 2, appelées aussi Dumps)

L’information Track2 est trouvée sur la bande magnétique d’une carte de paiement. En achetant des "dumps", les fraudeurs peuvent produire les cartes de paiement contrefaites qui peuvent ensuite être utilisées dans des magasins. Ceci se fait en codant les données sur une carte de crédit vierge ou sur une vieille carte de paiement.

Cartes classique /standards : $15 - 20 $

Les prix pour celles-ci peuvent descendre jusqu’à US$ 9 par carte, pour des achats de dumps en gros, avec un minimum de commande en gros commençant normalement à 200 $

Cartes Gold / Platinum : $20 - 80 $

** Les prix peuvent varier

Cartes d’entreprise/d’affaire/
signature/ : $30 - 40 $

Jeux complets de données ("Fulls")

Les informations qualifiées de "Fulls" incluent les détails complets sur un titulaire de compte, notamment les habilitations de banque en ligne du consommateur (c’est-à-dire nom utilisateur et mot de passe), son adresse postale, son numéro de carte, son code CVV2, la date d’expiration de la carte, et les MMN, DOB, SSN.

5 $ - 20 $ par jeu de données

Vérification des contrôles CC

Les contrôles CC (Carte de Crédit) sont utilisées par les cybercriminels pour vérifier d’avance la validité des cartes de paiement compromises qu’ils obtiennent/achètent.
0.40 $ par contrôle

Les prix peuvent varier énormément

20 $ pour 50 contrôles

Services de "SMS ou Phone-Flooding" (Deni de service d’une ligne téléphonique / TDoS)

Le déni de service est une attaque ayant pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service de l’utiliser. Les services TDoS (déni de service téléphonique) proposés par les fraudeurs consistent à inonder le téléphone d’un consommateur d’appels et sont généralement opérés pour rendre le téléphone portable d’un consommateur indisponible pour des appels entrants d’authentification ou des messages SMS envoyés par sa banque.

25 $ - 40 $ par 24 heures d’inondation d’un téléphone

Service d’attaque DDoS (Déni de service distribué)

Une attaque de déni de service distribué est une attaque tentant de rendre une ressource informatique indisponible à ses utilisateurs en surchargeant, ou en inondant sa bande passante avec un volume accablant de trafic Web.

$50.00* par 24 heures de DDOS

* Prix moyen pour attaquer en DDoS un site pendant 24 heures. Le prix exact dépend du site à mettre en Déni de service.

Service d’hébergement "Pare-balles" (Bulletproof hosting)

Les services d’hébergement ou stockage "pare-balles" sont des services de location utilisés par des cybercriminels pour héberger des contenus malveillants.

Les infrastructures "pare-balles" peuvent accueillir n’importe quel type de contenu malveillant.

87 $ - 179 $ par mois selon le niveau de service et jusqu’à 400 $ par mois pour certaines infrastructures.

Kit cheval de Troie "SpyEye"

C’est l’un des Trojans les plus avancés de nos jours, mettant en avant ses propres injections de pages HTML dans IE (Internet Explorer) et Firefox, ses options de déclenchement prédéfinis pour la banque et une liste croissante de fonctions uniques. SpyEye a été la plus grande innovation de chevaux de Troie de l’année 2010, et c’est le seul cheval de Troie bancaire disponible à la vente capable de challenger la part de marché de Zeus.

- Kit de base - 1,000 $

– Outil d’injection Firefox - 1,000 $ - 2000 $

– Plug-in SOCKS - 750 $ - 1750 $

Le rapport de fraude en ligne RSA donne des statistiques clefs et les dernières tendances de fraude en ligne, issues du Centre de Commande Anti-fraude RSA. Pour plus d’information sur les découvertes de ce mois : http://www.rsa.com/solutions/consumer_authentication/intelreport/11068_Online_Fraud_report_0810.pdf

Parmi les découvertes données dans le rapport de fraude en ligne du mois d’août on note :

En septembre 2010, le Centre de Commande Anti-fraude RSA a arrêté et fermé 339 685 attaques en ligne dans 181 pays.

Une augmentation de 21% du nombre d’attaques de phishing lancées à travers le monde au cours du mois de juillet 2010. Cette croissance peut être attribuée à une augmentation du nombre d’attaques lancées contre une poignée de grandes entreprises.

En juillet, les attaques de phishing ont ciblé 217 marques mondiales, un nombre quasi identique à celui de juin. Le nombre de marques attaquées moins de cinq fois au cours du mois de juillet, était similaire à celui constaté en juin.

Les Etats Unis restent le pays hébergeant la majeure partie des attaques de phishing, soit 61% de l’ensemble des attaques dans le monde entier. Le Top 10 des pays les plus attaqués en juin, maintiennent leur position pendant juillet, en voyant la part d’attaques les ciblant chacun augmenter entre 0.5 à 3%. Les Pays-Bas sont le seul à avoir disparu du diagramme, et à être remplacés par le Brésil avec 3% d’hébergement de site phishing.

Le volume d’attaques de phishing supporté par les Etats Unis a augmenté de 8% entre juin et juillet, représentant alors 47% de toutes les attaques de phishing en juillet. Les nouveaux venus de juillet sont l’Australie, le Brésil et les Emirats Arabes Unis. Ces derniers entrent à nouveau dans le diagramme pour la première fois depuis novembre 2009.

Avec les Etats Unis et le Royaume Uni continuant leur avance presque perpétuelle comme pays ayant le plus de marques attaquées, la plupart des constituants du Top 10 de juin se maintiennent en Juillet au 10 premières places. La France, la Nouvelle-Zélande et le Nigeria ont disparu du diagramme complètement, tandis que les Pays-Bas, l’Espagne et les Emirats Arabes Unis sont entrés à nouveau le mois dernier.

A propos du Centre de Commande Anti-fraude (AFCC)

Le Centre de Commande Anti-fraude est une war-room 24x7 qui détecte, suit à la trace, bloque et ferme les attaques de phishing, pharming et chevaux de Troie (trojan) perpétrées par des fraudeurs en ligne. Contre-mesure effective contre la fraude en ligne, RSA FraudAction a fermé plus de 160,000 sites Web illicites à travers 140 pays jusqu’à présent, aidant à protéger plus de 320 organisations. Ses analystes de fraude ferment les sites Web accueillant des attaques en ligne, déploient des contre-mesures et conduisent un travail d’investigation forensique poussé pour aider à attraper les fraudeurs et empêcher de futures menaces - réduisant de manière significative la durée de vie moyenne d’une attaque en ligne.