Publié le 21-02-2008 dans le thème Hacking

Pays : International - Auteur : Damien Bancal

Pub : Découvrez les Labs ZATAZ

Rapport Mensuel sur la Fraude en Ligne – Janv. 2008 édité par RSA, La Division Sécurité d’EMC.

La fraude en ligne évolue constamment. Parmi les principales menaces, les technologies de « phishing » et de « pharming » représentent les vagues de criminalité organisée les plus sophistiquées et innovantes menaçant le commerce en ligne. Les fraudeurs disposent en effet aujourd’hui de nouveaux outils et d’une réactivité d’adaptation sans précédent.

Les statistiques mentionnées dans ce rapport sont extraites du référentiel anti–phishing constitué par le Centre de commande AFCC dans le cadre de ses activités ; elles permettent de réaliser de brèves analyses et des représentations graphiques des tendances – étayées par l’expertise exclusive des analystes du Centre AFCC.

Au sommaire ce mois-ci…
Les premières attaques de Phishing basées sur « Storm Botnet »
Début janvier, le centre de commande anti-fraude de RSA détectait plusieurs attaques de Phishing utilisant comme Proxy un réseau de robots IRC  dénommé « Storm Botnet ». Ces attaques ciblaient des établissements bancaires de premier plan du Royaume-Uni à travers deux serveurs Proxy livrant les contenus aux victimes provenant d'un « vaisseau amiral ». Le réseau de dissimulation – de type « fast-flux » – véhiculant l’attaque était Storm Botnet, permettant notamment une « rotation » fréquente des adresses IP des serveurs de Proxy auxquels accèdent les victimes. Le domaine de Phishing renvoyait en effet à une adresse différente à chaque tentative d'accès et la plage d'adresses IP utilisée par les serveurs de Proxy était relativement étendue.

Dans les attaques Storm, les serveurs de nom sont enregistrés au sein du domaine – et non à l’« extérieur ». Par exemple : si le site de Phishing est hébergé sur www.stormphish. com/, le serveur de nom de ce domaine sera ns1.stormphish. com. Cette structure empêche les services de lutte contre la fraude d’identifier les autres domaines « servis » par le même réseau de Proxy – contrairement à d’autres réseaux d’hébergement (phishing, code malveillant, etc.) où les domaines additionnels peuvent être tracés.

Dans toutes ces attaques, les domaines utilisés étaient tout à fait fiables et conçus dans un format identique pour perpétrer des attaques contre différents établissements bancaires. Pour deux d’entre eux, les domaines étaient très similaires – indiquant clairement une attaque provenant d’un seul groupe.

Qui est derrière ces attaques ?
Il est très difficile d’identifier les auteurs de ces attaques qui peuvent avoir été lancées par les propriétaires du réseau Storm  – qui qu’ils soient, sachant qu’il ne s’agit pas forcément d’un seul groupe de criminels… Les attaques peuvent également avoir été lancées par des groupes louant les services du réseau Storm… Par le passé, nous avons déjà rencontré des réseaux d’hébergement fast-flux en location ; il est tout à fait possible que nous soyons dans cette situation et que Storm Botnet soit désormais commercialisé auprès de groupes criminels en tant que service d’hébergement et de dissimulation parfaitement étanche et « à l'épreuve des balles ».

Comment lutter contre ces risques d’attaques ?
Le centre de commande AFCC de RSA a une grande expérience de la détection et de l’éradication des attaques de Phishing basées sur des Proxy ou de type fast-flux – attestée notamment dans la lutte contre les activités du groupe « Rock Phish ». Comme avec d’autres attaques de Phishing dissimulées par un système fast-flux, le centre AFCC a focalisé ses efforts sur le « délistage » des domaines malveillants – plutôt que sur les adresses IP utilisées pour l’hébergement des attaques. Avec ce type d’attaque, l’autre direction de lutte consiste généralement à tracer les serveurs de contenus – « vaisseau amiral » de l’attaque.

En saisissant directement les adresses IP des serveurs de Proxy dans un navigateur, la signature pointe vers un site d’infection Storm Botnet. Il s’agit d’une signature bien connue de nombreux ordinateurs appartenant à ce réseau de robots IRC – récemment utilisé pour infecter des utilisateurs avec le logiciel malveillant Storm. Cette information nous a aidés à déterminer qu'il s’agissait bien d’attaques Storm (voir copie d’écran lors de l’accès à ces adresses IP).

Jusqu’à présent, le réseau Storm n’avait jamais été associé à des attaques de Phishing ; il connaît une croissance constante par accumulation de plus en plus de robots (« bots ») sans indication précise de leur fonction. En phase d’activité, le système est généralement associé à des activités de Spam, des attaques DDoS ou de « simples » infections. Il est également resté en sommeil pendant de longues périodes. C’est la première fois que des attaques de Phishing sont clairement liées à – et hébergées par – les ordinateurs du réseau Storm.

Ces attaques démontrent que le réseau Storm Botnet a la capacité de croître pour devenir une menace potentielle de Phishing bien plus importante qu’il n’est aujourd’hui. Dans un scénario défavorable, Storm pourrait en effet devenir l’infrastructure sous-tendant une nouvelle vague d'attaques de Phishing de type fast-flux. L’infrastructure de robots est bien établie et administrée ; il ne tient désormais qu’à ses propriétaires de choisir de l’utiliser pour des campagnes étendues de Phishing ou de diffusion de logiciels malveillants ou de le mettre à la disposition d’autres groupes de criminels. Sa capacité à fonctionner comme réseau de Phishing avec dissimulation de type fast-flux a bien été démontrée lors de ces récentes attaques – dont c’était vraisemblablement la vocation.

1.      Répartition géographique des banques ciblées par des attaques de phishing
La distribution des entités attaquées est relativement constante depuis juin 2007 et les marques américaines restent largement prédominantes. Pour le douzième mois consécutif, les établissements britanniques occupent la seconde position avec 15 % des entités attaquées. Il est intéressant de constater que l’Argentine fait son entrée au palmarès en janvier, démontrant que le Phishing s’étend désormais à de nouveaux territoires (en l’occurrence Amérique Centrale et du Sud).


2.    Nombre mensuel d’attaques de marques
Le nombre de marques attaquées a légèrement baissé en janvier et reste bien inférieur aux mois record de 2007. En janvier 2008, le centre AFCC de RSA a détecté des attaques contre 22 établissements financiers qui n’avaient jamais été attaqués auparavant. Ces résultats sont conformes aux tendances constatées au cours des trois derniers mois.


3.    Principaux pays d’hébergement
Le pourcentage d’attaques hébergées aux États-Unis continue à fluctuer – et remonte en janvier après avoir chuté en décembre. Néanmoins, les États-Unis restent en tête avec une avance encore confortable. Hong Kong reste dans le « Top 3 » comme ce fut le cas très fréquemment en 2007. Les Philippines, ayant hébergé un grand nombre de domaines « Rock Phish » en décembre, ne figurent plus dans la liste ce mois-ci. Le Royaume-Uni, la France, l’Allemagne et la Corée du Sud figurent toujours dans la liste à des taux similaires au mois précédents.

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Une conférence téléphonique du FBI piratée par des Anonymous

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

Les emails du président syrien Bachar el-Assad piratés

Un hacker saoudien aurait réussi à pirater pour 4Go de données emails appartenant au président syrien Bachar el-Assad.

Le serveur Internet Citroen compromis

INFO ZATAZ - Mercredi soir, un pirate Turc a passé ses nerfs sur plusieurs espaces appartenant au constructeur automobile Citroën.

Le site pour adultes Brazzers... pompé de ses mots de passe

INFO ZATAZ - Un internaute découvre comment accèder aux données membres du site pour adultes Brazzers.

Le site modernisation.gouv.fr piraté par les Anonymous

INFO ZATAZ - Des anonymous modifient le site modernisation.gouv.fr. Pour les manifestants numériques, la modernisation passe par la compréhension de la technologie.

Attaque contre Sony à venir ?

INFO ZATAZ - Plus de 12.000 adresses IP appartenant à SONY diffusées. Une attaque de masse à venir ?

Piratage du site du Conseil Représentatif des Institutions juives

Un groupe de pirates informatiques du nom de French Cyber Army diffuse plusieurs bases de données appartenant au CRIF, Publicis et Unicef.

Sciences Po Paris piraté

Un groupe de pirates se faisant appeler French Cyber Army diffuse sur la toile une base de données appartenant à Sciences Po Paris.

Réagissez à ce contenu