Dernières tendances en matière de vol dans les réseaux informatiques – Première partie

Les ordinateurs se sont tellement inscrits dans notre quotidien qu’un nombre croissant d’utilisateurs et d’entreprises ont fini par les utiliser pour conserver leurs informations confidentielles. Mais l’attention portée à ce type de propriété « de données privées » est loin d’être identique à celle que nous accordons à nos autres biens.

La majorité des utilisateurs estiment toujours qu’ils ne représentent aucun intérêt pour les individus mal intentionnés, que les informations stockées sur leurs ordinateurs n’ont aucune valeur et qu’ils seront épargnés. Abordons le problème du point de vue des cyber-criminels intéressés par les données « personnelles » hébergées sur des machines d’utilisateurs « privés ».

Une activité « rentable »

Au cours des dernières années, la cybercriminalité a connu un développement soutenu qui a débouché sur l’émergence de nouvelles technologies malveillantes. Elle est devenue une activité très rentable exercée par des enthousiastes solitaires ou des groupes biens organisés.

Selon les estimations, la cybercriminalité a engrangé en 2005 des dizaines voire des centaines de milliards de dollars, ce qui dépasse les revenus de l’ensemble des acteurs du secteur de la lutte contre les virus. Ces sommes astronomiques ne proviennent pas exclusivement d’attaques sur des ordinateurs de particuliers ou d’entreprises mais celles-ci représentent néanmoins une part non négligeable des sources de revenus des individus mal intentionnés.

Nous avons décidé de scinder le sujet en deux parties : une consacrée aux attaques sur les ordinateurs de particuliers et l’autre sur les attaques visant les réseaux d’entreprise.

Dans cette partie, nous allons essayer d’identifier les informations des particuliers qui intéressent les individus mal intentionnés ainsi que les moyens utilisés pour obtenir ces données.

Types d’informations volées

Quels sont les biens virtuels qui peuvent intéresser un voleur informatique?

Suite à une analyse des codes malveillants, les experts de Kaspersky Lab ont identifié 4 groupes de données qui sont le plus souvent volées. Notez que cette liste est loin de réunir les seuls éléments qui intéressent les voleurs. Dans cette liste non exhaustive, nous retrouvons :

  • Les paramètres d’accès à divers systèmes financiers en ligne (opérations bancaires en ligne, cartes de crédit, porte-monnaie électronique) ou à des sites de ventes aux enchères en ligne ;
  • Mots de passe d’accès à divers sites ou services de messagerie instantanée ;
  • Mots de passe d’accès à des boîtes aux lettres faisant intégralement partie de comptes ICQ ainsi que toutes les adresses de courrier électronique présentes sur l’ordinateur ;
  • Mots de passe d’accès à des jeux en ligne tels que Legend of mir, Gamania, Lineage et World of Warcraft.

Si vous utilisez un des services repris dans cette liste, vous êtes une victime potentielle.

Nous reviendrons plus tard sur l’utilisation qui est faite des informations volées, mais pour l’instant, penchons-nous sur les méthodes exploitées pour obtenir ces données de manière frauduleuse.

Modus operandi des voleurs

Dans la grande majorité des cas, les vols sont réalisés à l’aide de codes malveillants spécialisés ou d’astuces d’ingénierie sociale, voire des deux, pour une plus grande efficacité.

Nous commencerons par les codes malveillants chargés d’espionner les actions de l’utilisateur (par exemple, enregistrement de la séquence de frappes du clavier) ou de rechercher les données clé dans les fichiers de l’utilisateur ou dans la base de registres système. Le code malveillant transmet ensuite les données obtenues à l’auteur qui les utilisera en fonction des objectifs qu’il veut atteindre.

Ces programmes tombent sous les catégories Trojan-Spy ou Trojan-PSW de la classification utilisée par Kaspersky Lab. L’illustration ci-dessus est une représentation graphique du nombre de logiciels espion découverts chaque mois :


Illustration 1. Augmentation du nombre de codes malveillants impliqués dans le vol de données.

Les logiciels espions peuvent s’introduire dans un ordinateur par divers canaux : consultation d’un site infecté, courrier électronique, chat, forum, messagerie instantanée ou tout autre moyen lors d’une connexion à Internet. En règle générale, les cyber-criminels recourent à des astuces d’ingénierie sociale en plus de l’utilisation de codes malveillants afin d’amener l’utilisateur à réaliser les actions qui conduiront à l’infection. A titre d’exemple, prenons une des variantes du très répandu Trojan-PSW.Win32.LdPinch, capable de voler les mots de passe d’accès aux messageries instantanées, aux services de messagerie en ligne, aux FTP ainsi que d’autres données. Après avoir infecté l’ordinateur, ce code malveillant se propage à tous les contacts grâce à un message du type :

Regarde
<lien sur le programme malicieux>
Excellent ! 🙂

Toute personne recevant un message de ce style cliquera sur le lien et téléchargera le cheval de Troie. Et ce, parce que les utilisateurs accordent une grande confiance aux messages ICQ. Le destinataire ne doute pas que le message provient bien d’une connaissance. Et la boucle est bouclée : après avoir infecté l’ordinateur de l’ami, le ver se propage à nouveau aux contacts de la liste et continue ainsi à approvisionner l’auteur en mots de passe volés.

Il est particulièrement inquiétant de se dire que de tels logiciels espions peuvent être programmés par des débutants qui exploitent également l’ingénierie sociale. Voici un exemple d’un programme créé par une personne dont la maîtrise de l’anglais laisse à désirer : Trojan-Spy.Win32.Agent.ih. La boîte de dialogue de l’illustration 2 apparaît dès que ce code malveillant est exécuté :


Illustration 2. Boîte de dialogue affichée par Trojan-Spy.Win32.Agent.ih.

Ce message indique à l’utilisateur qu’il doit absolument verser la modeste somme d’1 dollar américain pour l’utilisation d’Internet. Toutes les règles de l’ingénierie sociale sont respectées :

  • L’utilisateur n’a pas le temps de réfléchir. Le paiement doit être obligatoirement réalisé le jour de la réception du message ;
  • La somme à payer (1 USD) est symbolique, ce qui augmente considérablement le nombre de personnes qui vont payer car qui va vraiment chercher à comprendre pour un malheureux dollar ;
  • Le chantage doit pousser l’utilisateur à agir : en cas de non-paiement, l’accès à Internet sera coupé ;
  • Afin de limiter les soupçons de l’utilisateur, le prétendu expéditeur du message est l’administration du fournisseur d’accès Internet qui s’est souciée du confort de ses utilisateurs en proposant un programme permettant de réaliser le paiement sans perdre de temps. Il est logique qu’elle connaisse l’adresse de courrier électronique des utilisateurs du service.

La première étape consiste à supprimer la résistance de l’utilisateur et de le convaincre de la nécessité de saisir les données de sa carte de crédit. L’utilisateur respectueux des règlements n’a pas le choix. Il clique sur « Pay credit card » (Payer carte de crédit), ce qui entraîne l’affichage de la boîte de dialogue suivante (cf. illustration 3) :


Illustration 3. Boîte de dialogue de saisie des données de la carte de crédit affichée par Trojan-Spy.Win32.Agent.ih.

Naturellement, une fois que l’utilisateur a cliqué sur « Pay 1$ » après avoir rempli tous les champs requis, aucun paiement n’est prélevé sur la carte de crédit. Par contre, toutes les données saisies sont envoyées par courrier électronique à l’escroc.

L’ingénierie sociale peut être utilisée indépendamment de tout code malveillant. L’exemple le plus évocateur est l’hameçonnage (phishing) : une attaque ciblant les clients d’une banque qui offre des services de gestion en ligne. Le message prétendument envoyé par la banque avertit l’utilisateur que son compte a été bloqué pour une raison quelconque (il s’agit bien entendu d’un mensonge) et qu’afin de le débloquer, il suffit de saisir les données d’accès en cliquant sur le lien spécial repris dans le corps du message. Le lien proposé laisse croire à l’utilisateur qu’il va réellement accéder au site de la banque alors qu’en fait il va être redirigé vers le site de l’escroc. Ici aussi, les données saisies ne sont pas envoyées à la banque mais bien au criminel qui obtient de la sorte les informations nécessaires pour accéder au compte du client. L’illustration 4 est un exemple de message d’hameçonnage :


Illustration 4. Exemple de message d’hameçonnage.

De tels messages peuvent également être envoyés au nom de services d’assistance, de services sociaux, etc.

Les escrocs ne sont pas seulement à la recherche de données de cartes de crédit. Ils sont également intéressés par les listes d’adresses électroniques. Comment volent-ils ces adresses ?
Les codes malveillants correspondant à la catégorie SpamTool dans la classification de Kaspersky Lab sont d’un grand secours aux individus mal intentionnés pour cette activité. Ces programmes analysent les fichiers de données sur l’ordinateur de la victime et y recherchent toutes les adresses de courrier électronique possibles. Les adresses identifiées peuvent ensuite être filtrées selon des critères particuliers, par exemple exclure les adresses d’éditeurs de logiciels antivirus.

Toutes les adresses récoltées sont ensuite envoyées à l’auteur du code malveillant.

Il existe des méthodes plus cyniques pour infecter un ordinateur avec un cheval de Troie. Il peut arriver que les criminels proposent aux propriétaires de sites Internet de les payer pour le téléchargement du code malveillant hébergés sur le site. Ce fut le cas de iframeDOLLARS.biz ! Selon le « partenariat » proposé sur ce site, les webmestres étaient invités à installer les codes d’installation sur leurs propres sites afin de pouvoir diffuser le code malveillant chez les utilisateurs (à leur insu bien évidemment). Ce « partenariat » proposait une rémunération de 61 USD pour 1 000 infections.

L’appât du gain, principal moteur des cyber-voleurs

L’appât du gain est sans conteste la principale motivation de ces voleurs. En fin de compte, la majorité des informations volées sont soit revendues, soit utilisées directement pour obtenir de l’argent. Mais qui a besoin d’adresses de courrier électronique et de données de cartes de crédit ?

Le vol des données a été commis. Mais ce n’est qu’une partie du processus. Il faut maintenant retirer l’argent du système financier ou rentabiliser les informations obtenues. Si l’attaque a permis d’obtenir les identifiants pour accéder à un système de gestion de compte bancaire en ligne ou à un porte-monnaie électronique, l’argent peut-être retiré de diverses façons : via une chaîne de points de change de devises électroniques (système de paiement), via des services similaires proposés par des organisations criminelles, via l’achat d’articles dans des magasins en ligne.

Dans de nombreux cas, ce blanchiment de l’argent volé représente l’étape la plus dangereuse pour l’individu mal intentionné car il doit absolument fournir certains paramètres d’identification : une adresse de livraison pour les marchandises achetées, le numéro de son compte ou de son porte-monnaie électronique, etc. Pour contourner ce problème, les escrocs utilisent ce qu’on appelle des « mules » dans le langage criminel. Ces « mules » sont utilisées pour les tâches les plus exposées (réception de l’argent, des marchandises) afin de ne pas devoir dévoiler leur propre identité. Bien souvent, les « mules » n’ont aucune idée des véritables raisons de leur action. Ces « mules » ont peut-être été engagées par une prétendue société internationale via un site de recherche d’emploi. Elles peuvent même disposer d’un contrat signé avec un cachet. Et en cas d’arrestation, elles ne peuvent communiquer aux enquêteurs aucune information utile. En effet, le contrat et les conditions sont faux, tout comme le site reprenant l’adresse et les numéros de téléphone utilisés pour communiquer avec les « mules ».

Cette activité a pris son propre rythme et l’individu mal intentionné ne cherche plus lui-même les « mules ». Cette tâche revient désormais à un individu qui, dans le milieu, est appelé le « muletier ». Chaque maillon de la chaîne du blanchiment de l’argent de la victime doit être rémunéré d’un pourcentage défini mais la sécurité justifie ces investissements, d’autant plus que les individus mal intentionnés n’ont pas gagné cet argent à la sueur de leur front.

S’agissant des adresses de courrier électronique, elles peuvent être vendues sur le marché criminel pour des montants considérables aux diffuseurs de spam.
Qu’en est-il des jeux en ligne ? Les non-initiés seront intéressés d’apprendre l’utilisation qui est faite des identifiants volés. Les joueurs achètent, avec de l’argent électronique, des armes virtuelles, diverses protections et bien d’autres choses encore. Il est déjà arrivé que de tels biens virtuels soient vendus pour des milliers de dollars, bien réels eux. L’individu mal intentionné ayant obtenu tout ce patrimoine sans verser un centime, peut les revendre à un prix sensiblement réduit, ce qui explique la popularité des codes malveillants qui volent les biens virtuels dans les jeux. Ainsi, on comptait, fin juillet 2006, plus de 1 300 variantes du code malveillant capable de voler les mots de passe pour le célèbre jeu Legend of Mir. Nos spécialistes découvrent de plus en plus souvent des codes malveillants de ce style qui s’en prennent directement à plusieurs jeux.

Escroquerie en ligne avec des biens déjà « volés » et revendus

L’escroquerie amène l’utilisateur à se séparer volontairement d’une somme d’argent et pour ce faire, l’escroc exploite dans la majorité des cas le penchant des utilisateurs pour les «bonnes affaires».

Le commerce se développe sans cesse dans de nouveaux secteurs. De plus en plus de marchandises et de services sont vendus en ligne. Ces initiatives légitimes ont été suivies par des éléments criminels qui ont introduit sur Internet les escroqueries en vigueur dans le monde réel. En règle générale, pour attirer des acheteurs (ou des clients), l’individu mal intentionné met l’accent sur les prix inférieurs par rapport à ceux proposés par les vendeurs légitimes. L’illustration 5 présente à titre d’exemple un extrait d’une page d’un magasin virtuel :


Illustration 5. Offre d’ordinateurs portables à bas prix sur un site frauduleux.

Comme le montre l’illustration 5, le prix demandé est incroyablement bas. Un tel prix devrait éveiller les soupçons de l’utilisateur et l’amener à réfléchir avant d’acheter. Pour éviter cela, les individus mal intentionnés justifient les bas prix par l’origine des marchandises :

  • Vente d’une saisie;
  • Vente de marchandises achetées avec des cartes de crédit volées
  • Ventes de marchandises achetées à crédit sous un prête-nom.

L’argumentation avancée pour les faibles prix affichés dans ces « magasins » est plus que douteuse. De nombreux acheteurs se demandent malgré tout pourquoi une marchandise ne pourrait pas être vendue bon marché si elle a été obtenue gratuitement.

L’utilisateur qui décide de passer une commande doit s’acquitter soit d’un acompte, soit de la somme totale, après quoi le « vendeur » ne répond plus aux appels téléphoniques ni aux courriers électroniques. Bien entendu, personne ne rembourse la somme versée. Ce scénario existe en plusieurs variations. Par exemple, il est fréquent, en Russie, que les articles achetés dans un magasin en ligne soient livrés par un courrier. Dans ce cas, les individus mal intentionnés peuvent exiger un acompte couvrant seulement la livraison, sous le prétexte que bien souvent l’adresse de livraison est incorrecte et qu’il faut malgré tout payer le courrier. Dans ce cas, l’utilisateur perd uniquement l’argent du transport et l’article n’est jamais envoyé.

Les magasins en ligne fictifs ne sont pas le seul piège dans lequel peuvent tomber les utilisateurs. En effet, la majorité des idées criminelles exploitées dans le monde réel ont été transposées sur Internet. A titre d’exemple, prenons un des « projets » dans lequel l’utilisateur est invité à investir une certaine somme avec un taux d’intérêt très alléchant, ce qui pousse l’utilisateur à donner son argent à l’escroc. L’illustration 6 est un exemple de site « d’investissements » :


Illustration 6. Site frauduleux d’investissements.

Nous nous abstiendrons de tout commentaire sur les taux d’intérêt proposés. Il existe malgré tout des personnes qui font confiance à de tels projets et qui du statut d’investisseur, passent au statut de victime après avoir perdu l’argent investi.

Il existe une multitude de cas similaires : on découvre sans cesse de nouveaux sites frauduleux de change pour argent électronique n’ayant d’autres but que de voler l’argent des clients. Les pyramides en ligne (semblables aux arnaques de pyramides du monde réel) apparaissent de temps à autres, les utilisateurs reçoivent du courrier indésirable à propos de porte-monnaies électroniques qui doublent ou triplent les sommes déposées. Comme nous l’avons déjà dit, les escrocs à l’origine de ces initiatives exploitent le goût des utilisateurs pour les bonnes affaires.

Extorsion par spam

Une tendance dangereuse s’est clairement manifestée en 2006 : l’extorsion s’est fortement développée en Russie et dans d’autres pays de la CEI. Trojan.Win32.Krotten apparaît en 2006. Il modifie la base de registres système de l’ordinateur attaqué à un tel point que l’utilisateur ne peut plus travailler normalement. Après le redémarrage de l’ordinateur un message invite l’utilisateur à verser 25 grivnia (environ 5 USD) à l’individu mal intentionné afin de rétablir le bon fonctionnement de l’ordinateur. Un utilisateur possédant un certain bagage en informatique peut toutefois rétablir lui-même le bon fonctionnement de sa machine en réinstallant le système d’exploitation pour se débarrasser du code malveillant. La majorité des programmes d’extorsion d’autres familles découverts par la suite ne laissent plus la place à une telle solution et la victime n’avait pas d’autres choix que de verser la somme demandée.

Krotten se diffusait dans les chats et les forums sous la forme d’une application extraordinaire offrant des services de VoIP gratuits, un accès Internet gratuit, un accès gratuit aux réseaux de téléphonie mobiles, etc.

La première version de Virus.Win32.GpCode est apparue le 25 janvier 2006. Ce virus cryptait les fichiers de données sur le disque et ne laissait aucune chance à l’utilisateur de les décrypter lui-même. Il fallait payer pour restaurer les données et les répertoires renfermant les données cryptées contenaient un fichier readme.txt :

Some files are coded by RSA method.
To buy decoder mail: xxxxxxx@yandex.ru
with subject: RSA 5 68251593176899861

Malgré la mention d’un algorithme de chiffrement RSA, l’individu mal intentionné utilisait en fait un chiffrement symétrique traditionnel, ce qui facilitait le rétablissement des données.

Au cours de 6 premiers mois de 2006, GpCode a parcouru un long chemin dans son développement : l’algorithme de chiffrement a été modifié et il n’a cessé de se compliquer. La somme à payer était comprise entre 30 et 70 USD en fonction des versions.

GpCode se diffusait via le courrier indésirable.

Ce type de code malveillant n’a fait que se développer. Le nombre de familles de programmes d’extorsion a fortement augmenté au cours de l’année (Daideneg, Schoolboys, Cryzip, MayArchive, etc.) et leur réparation géographique s’est élargie : à la fin du semestre, des codes malveillants de ce type ont été recensés en Grande-Bretagne, en Allemagne et dans d’autres pays. Cela ne signifie pas que les autres formes d’extorsion ont été abandonnées pour autant. A titre d’exemple, citons l’attaque dont fut victime le projet d’Alex Tew, ce jeune britannique de 21 ans, qui avait créé un site pour la vente d’espace publicitaire de quelques pixels grâce auquel il avait gagné un million de dollars en quatre mois. Des individus mal intentionnés avaient exigé le paiement d’une somme importante, sans quoi le site serait soumis à une attaque par déni de service. A la fin de l’ultimatum de trois jour, le site fut soumis à l’attaque par déni de service promise. L’étudiant n’a pas plié aux exigences, ce qui est tout à son honneur.

Pourquoi l’extorsion et le chantage sont-elles des activités si populaires dans les milieux de la cybercriminalité ? La réponse est simple : c’est à cause des victimes. Dans l’espoir de restaurer les données endommagées ou perdues, les victimes sont prêtes à répondre aux moindres exigences des individus mal intentionnés.

Idées simples pour ne pas devenir une victime

A la lecture de cet article, vous pourriez vous dire que notre but était de vous faire peur et de vous indiquer que seul un logiciel antivirus pourrait vous sauver. En fait, aucun logiciel antivirus ne peut protéger un utilisateur si ce dernier ne respecte pas certaines règles de prudence élémentaires. Vous trouverez ci-après des recommandations simples qui vous aideront à ne pas devenir une « proie » :

  • Avant de réaliser une opération financière ou de communiquer des données personnelles, recherchez des commentaires relatifs au site en question en sachant toutefois qu’il ne faut pas nécessairement croire ces commentaires site car ils sont peut-être l’œuvre d’individus mal intentionnés. Dans ce cas, vos amis seront vos meilleurs conseillers ;
  • Eviter de communiquer les données relatives à vos cartes de banque sur le réseau. Si vous devez absolument réaliser des paiements en ligne, réservez une carte ou un porte-monnaie électronique uniquement à cet effet en y transférant uniquement le montant nécessaire juste avant de réaliser l’achat.
  • Il faut être particulièrement vigilant vis-à-vis des magasins en ligne, des fonds d’investissements ou d’autres organisations si le site se trouve sur un domaine de troisième niveau, ou dans un service d’hébergement gratuit. Toute organisation qui se respecte investira l’argent nécessaire pour acquérir un domaine de deuxième niveau.
  • Vérifiez le lieu et la date d’enregistrement du domaine, l’emplacement géographique du magasin et assurez-vous que l’adresse et le numéro de téléphone sont réels. Un simple appel téléphonique vous évitera bien des problèmes en permettant de mettre les points sur les « i ». Si le nom de domaine a été enregistré il y a un mois et que les messages que vous avez reçus indiquent que le magasin existe depuis quelques années, il faudra procéder à une analyse plus approfondie.
  • Ne versez jamais d’acompte. Même pour la livraison par service de courrier. Donnez l’argent uniquement à la réception de la marchandise. Ne croyez pas les explications selon lesquels les courriers sont souvent envoyés à des adresses fictives. Il vaut mieux prendre toutes les précautions et choisir un autre magasin au lieu d’être escroqué.
  • Ne répondez jamais aux messages de banques, de fonds ou d’autres structures car ces institutions n’envoient jamais de messages. Si vous avez des doutes, téléphonez à la banque pour demander des explications. Mais dans ce cas, n’utilisez pas le numéro de téléphone repris dans le corps du message car ce numéro sera certainement un numéro de l’individu mal intentionné.

Conclusion

Nous avons consacré cette partie à l’étude des méthodes les plus répandues pour voler les biens virtuels des utilisateurs sur Internet. Vous êtes le meilleur garant de votre propre sécurité. Comme dit le proverbe, deux précautions valent mieux qu’une. Et nous espérons que cet article vous aura sensibilisé aux dangers.

Dans la deuxième partie de cet article, nous nous pencherons sur les attaques similaires dont peuvent être victimes les organisations. Nous fournirons des statistiques et nous présenterons les tendances de développement du marché criminel dans cette direction.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *