Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport Mensuel sur la Fraude en Ligne – Mars 2008, édité par RSA, La Division Sécurité d’EMC

mai 2008 par RSA, La Division Sécurité d’EMC

La fraude en ligne évolue constamment. Parmi les principales menaces, les technologies de « phishing » et de « pharming » représentent les vagues de criminalité organisée les plus sophistiquées et innovantes menaçant le commerce en ligne. Les fraudeurs disposent en effet aujourd’hui de nouveaux outils et d’une réactivité d’adaptation sans précédent.

Le Centre de commande anti-fraude AFCC (Anti-Fraud Command Center) de RSA assure une veille permanente (24x7) afin de détecter, contrôler, tracer et annihiler les attaques de phishing, de pharming et de Chevaux de Troie pour plus de 200 établissements majeurs dans le monde. À ce jour, le Centre AFCC a mis fin à plus de 60 000 attaques de phishing ; il constitue une précieuse source d’information pour l’ensemble de l’industrie sur les menaces émergentes pesant sur le commerce électronique.

Les statistiques mentionnées dans ce rapport sont extraites du référentiel anti–phishing constitué par le Centre de commande AFCC dans le cadre de ses activités ; elles permettent de réaliser de brèves analyses et des représentations graphiques des tendances – étayées par l’expertise exclusive des analystes du Centre AFCC.

Au sommaire ce mois-ci… Campagnes de spam du gang Rock Phish

Le gang « Rock Phish » est un groupe de cybercriminels émettant une quantité considérable d’e-mails de Phishing, responsable à lui seul de plus de la moitié des attaques de phishing perpétrées dans le monde, dont on pense qu’elles lui auraient rapporté des dizaines de millions de dollars dérobés sur les comptes bancaires de victimes peu soupçonneuses. Rock Phish cible de nombreux établissements financiers – et certaines des premières banques mondiales.

Chaque fois que le gang Rock Phish « communique » sur un nouveau site de phishing, ce dernier réalise un nombre considérable de « hits » – généralement bien supérieur à celui obtenu avec une attaque de phishing « standard ». Ce surcroît d’activité sur les sites Rock Phish s’explique notamment par la technologie employée pour envoyer les e-mails de phishing. En effet, Rock Phish crée et route ses messages en utilisant une méthode permettant normalement d’éviter toute détection. Pour cela, le gang utilise simultanément des « hash busters » pour créer des e-mails toujours différents et un robot Botnet pour les relayer vers leurs destinataires.

Le robot « Rock Spam Botnet »

Des recherches complémentaires – menées par l’équipe de lutte contre les Chevaux de Troie de RSA FraudAction – démontrent que Rock Phish infiltre les ordinateurs personnels de ses victimes pour y installer un robot de spam et les utiliser par la suite comme relais d’émission d’e-mails de spam. Ces robots (ou « spam bots ») intègrent une fonctionnalité permettant d’adresser des e-mails de phishing à la liste de contacts de l’utilisateur infecté (offrant à Rock Phish une liste d’utilisateurs actifs). Ce robot de spam a été localisé dans certaines tentatives de phishing menées autour de YouTube en 2007.

Il faut remarquer que ce robot de spam n’est pas le même que celui utilisé pour livrer les contenus de phishing aux utilisateurs à travers un proxy.

En synthèse, bien qu’il ne s’agisse pas à proprement parler de nouvelles techniques, leur association permet d’envisager une infection réussie de milliers de serveurs de mails – et un accès aux contenus des boîtes de réception des utilisateurs. Cette sophistication explique certainement pourquoi les attaques de Rock Phish se concrétisent par un tel nombre de « hits » sur leurs sites de phishing.

Qu’est-ce qu’un « Hash Buster » ?

Il s’agit d’une technologie permettant d’ajouter un texte aléatoire à chaque e-mail de spam pour en faire un message unique (dont le comptage « hash » est différent pour chaque message émis) ; le texte aléatoire est ajouté au contenu masqué des e-mails pour rendre leur détection plus difficile par les filtres antispam.

En effet, la plupart des outils détectant un message de spam calculent sa valeur « hash » et rejettent ensuite tous ceux qui ont une valeur identique. Le texte caché ajouté aléatoirement aux spams de Rock Phish les rend tous différents et leur permet de franchir sans encombre le filtre antispam de la plupart des logiciels de protection. À titre d’illustration, le texte de l’encadré ci-dessous est extrait de l’un de ces e-mails :

cvs : 0x7457, 0x5, 0x8758, 0x9019, 0x7, 0x697,

0x17916501, 0x949, 0x80,0x030, 0x598, 0x97266747

NCE TP6 X81P RH2E exe SG0 include V8PW root api :

0x17, 0x2879 JN9 : 0x50270054, 0x28850104, 0x316,

0x935, 0x01339377, 0x64, 0x0, 0x1658, 0x26765770,

0x091, 0x162 BB4B : 0x9, 0x04, 0x1745, 0x0, 0x9597,

0x33, 0x25692116, 0x58826863, 0x536, 0x9200,

0x8236, 0x1759 EXJ : 0x1, 0x343, 0x88, 0x4917, 0x33,

0x84363121, 0x2 0x502, 0x6163, 0x460, 0x783, 0x6,

0x7, 0x805, 0x94, 0x343, 0x2, 0x2, 0x85653112

0x671, 0x5, 0x67064212, 0x3, 0x01452899, 0x9, 0x6,

0x4, 0x6, 0x9835, 0x94660375, 0x9 0x3181, 0x97,

0x7700

Au-delà de l’ajout de textes aléatoires au corps de l’e-mail, le gang Rock Phish utilise des noms aléatoires de sous-domaines au sein des URL de phishing. Ces sous-domaines aléatoires ont également pour effet d’interdire leur détection par de nombreux filtres antispam.

RSA Online Fraud Report

1. Répartition géographique des banques ciblées par des attaques de phishing

Analyse de tendance

La distribution des entités ciblées reste relativement similaire aux mois précédents. Les marques américaines étant les plus attaquées, suivies par les établissements britanniques (pour le 14ième mois consécutif). L’évolution la plus notable du mois est l’augmentation des attaques de phishing dans la région Asie-Pacifique – l’Australie et la Nouvelle-Zélande rejoignent le classement.

2. Nombre mensuel de marques attaquées

Analyse de tendance

Le nombre de marques attaquées a connu une croissance très importante en mars. Comme pour l’indicateur du nombre total d’attaques, le mois de mars marque un nouveau record du nombre d’établissements visés – 23 de plus qu’en mars 2007. Ces résultats exceptionnels sont largement dus à une extension des menaces de phishing à d’autres territoires géographiques et sur de nouveaux secteurs verticaux. En mars 2008, le centre de commande antifraude de RSA a détecté des attaques contre 16 institutions financières qui n’avaient jamais été ciblées jusque-là.

3. Segmentation des marques bancaires américaines victimes d’attaques de phishing

Analyse de tendance

La distribution des attaques change en mars, puisque les banques nationales, qui en supportaient environ 30 % depuis décembre 2007, chutent à 23 %. Les banques régionales et les circuits coopératifs représentaient environ le tiers des entités attaquées en février – un chiffre qui se confirme avec les dernières données. Il faut reconnaître que – tant en proportion qu’en distribution – ces valeurs ont été très instables au cours de l’année écoulée.

4. Principaux pays d’hébergement

Analyse de tendance

Comme les trois mois précédents, les États-Unis occupent la première place avec un pourcentage similaire du nombre d’attaques hébergées. L’Allemagne, la Corée du Sud et le Royaume-Uni occupent le haut du classement – comme en février. La seconde place de l’Allemagne résulte largement des domaines « Rock Phish » et « Fast-Flux » enregistrés dans ce pays au cours du mois. Autres faits marquants : le Canada et Hong Kong qui figuraient régulièrement au classement en sont absents en mars – laissant leurs places aux Pays-Bas et à l’Italie.




Voir les articles précédents

    

Voir les articles suivants