Le Centre de commande anti-fraude AFCC (Anti-Fraud Command Center) de RSA assure une veille permanente (24x7) afin de détecter, contrôler, tracer et annihiler les attaques de phishing, de pharming et de Chevaux de Troie pour plus de 200 établissements majeurs dans le monde. À ce jour, le Centre AFCC a mis fin à plus de 60 000 attaques de phishing ; il constitue une précieuse source d’information pour l’ensemble de l’industrie sur les menaces émergentes pesant sur le commerce électronique.

Les statistiques mentionnées dans ce rapport sont extraites du référentiel anti–phishing constitué par le Centre de commande AFCC dans le cadre de ses activités ; elles permettent de réaliser de brèves analyses et des représentations graphiques des tendances – étayées par l’expertise exclusive des analystes du Centre AFCC.

Synthèse Mensuelle

Nouvelles attaques de phishing inspirées par le groupe Rock Phish

La considérable croissance des attaques de phishing perpétrées en décembre est essentiellement liée à celle des activités du groupe Rock Phish. La cellule anti-phishing de RSA a également relevé une nouveauté intéressante dans les attaques de phishing ciblant les grandes institutions financières mondiales : elle a notamment détecté (et annihilé) plusieurs attaques à base de proxy qui, selon toute vraisemblance, émanent de plusieurs groupes utilisant une infrastructure de phishing inspirée de celle de Rock Phish.

Ces attaques présentent en effet des similitudes avec celles de Rock Phish – bien qu’elles soient hébergées sur des réseaux entièrement différents et ne comportent aucune de ses signatures connues du groupe. Leur ampleur et leur impact restent largement inférieurs à ceux de leur inspirateur, mais elles illustrent la diffusion des techniques avancées de phishing et démontrent que d’autres groupes s’inspirent des méthodologies Rock Phish.

Ces récentes attaques présentent en effet plusieurs caractéristiques similaires à celle perpétrées par Rock Phish. Tout d’abord à travers l’utilisation de serveurs de proxy pour communiquer avec les victimes qui reçoivent ensuite les contenus de phishing émanant d’un « vaisseau amiral ». En d’autres termes, il n’existe pas de communication directe entre les victimes et le véritable site de phishing. Par ailleurs, ces attaques ne sont pas basées sur des réseaux « fast-flux » connus ; il semble également que ces groupes aient des ressources limitées (en termes de robots « botnets » et de proxy). À ce jour, nous n’avons pas détecté d’autres données qui permettraient d’associer ces attaques à des réseaux fast-flux identifiés.

Multiples attaques sous un même domaine

Autre ressemblance avec les attaques de Rock Phish, un même domaine peut parfois héberger des attaques ciblées sur de multiples établissements. Un seul serveur de proxy (vers lequel pointe le domaine) peut ainsi être utilisé pour diriger les victimes sur plusieurs établissements financiers. Nous avons notamment tracé un serveur de proxy utilisé pour initier des attaques contre six établissements financiers américains différents.

Mesures de protection contre de telles attaques

Ces nouvelles attaques démontrent que de plus en plus de pirates semblent adopter des techniques qui étaient traditionnellement associées au groupe Rock Phish et aux attaques de phishing de type « fast-flux » .

Comme celles de Rock Phish, ces attaques sont structurellement plus complexes à éradiquer au niveau du fournisseur de services Internet (ISP) en raison des changements d’adresse IP interdisant d’identifier le serveur d’hébergement. La cellule AFCC de RSA s’attache dans ce cas à clôturer les domaines listés pour ces attaques au niveau du registraire – l’approche classique pour contrer les attaques de Rock Phish. Le déréférencement des domaines garantit l’arrêt de l’attaque – quels que soient les serveurs sur lesquels elle est physiquement hébergée. Grâce à une action permanente (24X7X365) et à un réseau mondial de partenaires, le centre AFCC de RSA fournit une prestation intégrale de détection, d’analyse et d’éradication de ces attaques de phishing.

Tracer le « vaisseau amiral »

Dans le cadre de ses activités de lutte contre la fraude le centre AFCC tente toujours de localiser le « vaisseau amiral » de ces attaques à travers des investigations intensives. Dernièrement, ces recherches ont permis de localiser celui d’un nouveau groupe hébergeant des contenus de phishing ciblant plusieurs établissements financiers – livrés aux victimes à travers des serveurs de proxy. Les informations concernant ce serveur ont été communiquées aux autorités judiciaires.

La distribution des entités attaquées demeure relativement stable depuis juin 2007. Comme d’habitude, les marques américaines constituent le gros des effectifs ; décembre est le 11ème mois consécutif où les établissements britanniques occupent la seconde position (avec 11 % des entités attaquées). L’Australie et la Colombie restent également à la même position pour le sixième mois consécutif. L’Espagne – habituée du Top 5 – passe en troisième position en décembre. Le Pérou et le Mexique quittent le classement en décembre – laissant la place au Japon.

Le nombre de marques attaquées a connu un considérable essor en décembre – restant cependant inférieur à celui de décembre 2006. En décembre 2007, le centre AFCC de RSA a détecté des attaques contre 20 établissements financiers qui n’avaient jamais été attaqués auparavant.

Les banques nationales américaines ne représentent que 26 % des institutions financières ciblées en décembre – contre 44 % en novembre. Le transfert « bénéficie » principalement au secteur coopératif (FCU) qui passe de 33 % en novembre à 45 en décembre ; le segment des banques régionales progressant également de 7 % d’un mois sur l’autre.

Le pourcentage des attaques provenant des États-Unis chute à nouveau à 44 % (un taux similaire à septembre et octobre). Comme cela s’est produit pendant plusieurs mois en 2007, Hong Kong et la Chine occupent la deuxième et troisième place – un rang étroitement lié à l’essor ponctuel des attaques menées par Rock Phish. Parmi les nouveaux venus, relevons la présence des Philippines qui ont hébergé un grand nombre d’attaques de Rock Phish et de ses émules. Le Royaume-Uni, la France, l’Allemagne et la Corée du Sud restent dans le classement avec des taux relativement constants.

Qu’est-ce que le phishing ?

Forme d’usurpation d’identité par laquelle, un pirate utilise un e-mail d’allure authentique afin de tromper son destinataire pour que ce dernier donne de manière consentante ses données personnelles, telles qu’un numéro de carte de crédit, de compte bancaire ou de sécurité sociale.

Qu’est-ce que le pharming ?

Installer un site factice contenant des copies de pages d’un site officiel dans le but de recueillir des informations confidentielles sur les utilisateurs du site officiel. En piratant les serveurs DNS (Domain Name Server) et en changeant les adresses IP, les utilisateurs sont dirigés automatiquement sur des sites fictifs

Qu’est-ce qu’un cheval de Troie ?

Programme apparemment sans danger contenant un code malveillant qui permet la récupération, la falsification ou la destruction de données