Le phishing et le pharming en pleine forme durant le mois de juillet 2007.

La fraude en ligne évolue constamment. Parmi les principales menaces, les technologies de « Phishing » et de « Pharming » constituent aujourd’hui les vecteurs de criminalité organisée les plus sophistiqués et innovants menaçant le commerce en ligne. Les fraudeurs disposent en effet de nouveaux outils et d’une réactivité d’adaptation sans précédent.

Le Centre de Commandement Anti-fraude ou AFCC (Anti-Fraud Command Center) de RSA assure une veille permanente (24x7) afin de détecter, contrôler, tracer et annihiler les attaques de phishing, de pharming et de Chevaux de Troie pour plus de 200 établissements majeurs dans le monde. À ce jour, le Centre AFCC a mis fin à plus de 32 000 attaques de phishing ; il constitue une précieuse source d’information pour l’ensemble de l’industrie sur les menaces émergentes pesant sur le commerce électronique.

Les statistiques mentionnées dans ce rapport sont extraites de bases de données anti-phishing élaborées constituées par le Centre AFCC ; elles permettent de réaliser des analyses et des représentations graphiques des tendances – étayées par l’expertise exclusive des analystes du Centre AFCC.


Synthèse Mensuelle
Augmentation du nombre de kits gratuits de phishing de type MITM (« Man-in-the-Middle ») disponibles sur le marché pirate underground

Les kits de phishing « normaux » ou de type MITM sont des accessoires bien connus des forums fréquentés par les pirates. Leurs créateurs les commercialisent en ligne auprès des pirates, qui les utilisent ensuite pour lancer des attaques contre certains établissements financiers. Il est également fréquent que ces kits de phishing soient proposés gratuitement sur des forums ou sur des sites Web dédiés distincts.

Les kits gratuits disponibles dans les milieux « underground » sont accessibles à travers des référentiels en ligne – contenant des kits multicibles, développés par le même pirate. Les liens vers ces référentiels sont généralement fournis par les auteurs dans les « Chat Rooms IRC » ou dans des forums consacrés à la fraude en ligne. La plupart de ces kits intègrent une « porte dérobée » ; c'est-à-dire, dans le langage des pirates, une chaîne de code permettant d’adresser les « résultats » de l’opération de phishing (les habilitations dérobées) non seulement à l’utilisateur principal du kit mais aussi à son créateur. C’est la raison pour laquelle ces derniers les proposent gratuitement avec un tel empressement !

Les sites Web proposant des kits de phishing gratuits existent depuis longtemps dans le milieu du piratage underground. Cependant, les recherches menées par les équipes d'investigation RSA FraudAction ont récemment mis en lumière un regain d’activité dans ce domaine et dénoté une augmentation des référentiels dédiés à la fourniture de kits gratuits de type MITM – qui, après étude, se sont révélé cibler plus de 10 des premiers établissements financiers mondiaux.

Implications tendancielles
Les kits gratuits MITM étant largement disponibles pour tous les fraudeurs – débutants comme experts – il leur suffit désormais de les télécharger pour lancer une attaque. Il est donc fort probable que nous assistions à une progression conséquente des attaques de phishing de cette nature.

La gratuité des kits confirme la banalisation des attaques de phishing de type MITM (déjà constatée il y a 6 à 12 mois). Ce n’est donc pas une surprise en soi dans la mesure où, face aux nouveaux obstacles défensifs comme l’authentification forte pour les services bancaires en ligne, les pirates sont tenus d’innover en permanence et de mettre en œuvre des méthodes alternatives. Le développement des attaques MITM confirme les progrès accomplis par les méthodes de phishing et d'attaque en ligne identifiées par RSA au cours des précédentes années. Le développement des kits MITM est à corréler avec la vigueur des débats constatée par l’équipe d’investigation RSA FraudAction dans les forums underground où les pirates échangent leurs points de vue sur les attaques MITM (ou « curl attacks » dans leur terminologie).

Mesures de protection contre de telles attaques
Le centre de commande et de veille antifraude 24x7 de RSA, gère cette nouvelle menace comme une attaque de phishing « classique » en s’appuyant sur son réseau étendu de monitoring, de détection et de blocage et sur sa grande expérience de la fermeture de sites malveillants. En outre, RSA peut s’appuyer sur son réseau interétablissement exclusif RSA eFraudNetworkSM pour identifier, analyser et réduire proactivement les risques propres à ce nouveau type d’attaque et mettre en œuvre les outils analytiques sophistiqués de RSA® Risk Engine pour maximiser la protection de ses clients membres du réseau.

Christopher Young, Vice-Président, « Consumer and Access Solutions Group » de RSA, commente ces nouvelles menaces de type MITM : « Alors que les établissements mettent en œuvre de nouveaux outils de sécurité en ligne, les fraudeurs recherchent immanquablement des moyens toujours plus sophistiqués pour duper d’innocentes victimes et leur subtiliser des informations ou ressources. Bien que ces attaques soient encore considérées comme des fraudes de "prochaine génération", elles devraient se répandre rapidement au cours des 12-18 prochains mois. Nous collaborons avec de nombreuses entreprises pour les aider à faire face à toute nouvelle création frauduleuse : certaines ont déjà déployé des solutions de protection multiniveau ; d’autres sont en cours de renforcement de leurs procédures de sécurité. »  

 
1.  Répartition géographique des banques ciblées par des attaques de phishing

Analyse de tendance
Les banques Américaines restent la cible privilégiée des attaques de phishing même si leur part relative baisse légèrement à 63 %. Les établissements britanniques conservent la deuxième place pour le sixième mois consécutif – avec 12 % des entités victimes de phishing. Les cinq premières places du classement demeurent globalement inchangées. La région « Australie/Nouvelle-Zélande » et la Colombie rejoignent le classement à la place des Pays-Bas et du Pérou. Enfin, si la France passe en fin de classement (de la 8ème à la 10ème position pour le mois de juillet 2007), il y a toujours 1% des banques touchées par des attaques de phishing sur notre territoire (chiffre inchangé par rapport à juin 2007).

2.  Nombre mensuel d’attaques contre de grandes enseignes bancaires

Analyse de tendance
Le nombre d’établissements attaqués a encore progressé en juillet qui est le troisième mois le plus élevé de l’année. Le Centre de commande antifraude de RSA a identifié des attaques contre 15 entités qui n’avaient jamais été ciblées auparavant.

3.  Segmentation géographique des attaques de phishing dans le secteur bancaire américain

Analyse de tendance
Le pourcentage de banques nationales américaines attaquées est bien plus important en juillet qu’en juin. Ce paramètre a été relativement instable en 2007 ; on estime que les banques nationales américaines représentent aujourd’hui 28 % du total des institutions financières ciblées. Le segment des banques régionales ne représente plus que 33 % des établissements attaqués contre 42 % en juin. Le secteur coopératif (FCU) reste stable à 39 %.

4.  Principaux pays hébergeant des sites de phishing

Analyse de tendance
Le pourcentage d’attaques hébergées aux États-Unis a encore augmenté en juillet (66 % des attaques émanant des dix premiers pays d’hébergement). Hong Kong occupe la deuxième position pour le deuxième mois consécutif (ainsi qu’en avril). La France, l’Allemagne, le Canada, le Royaume-Uni et la Corée du Sud représentent une part relative identique au mois précédent. L’entrée la plus intéressante du mois est « Sao Tome Principe », petite île d’Afrique occidentale ayant hébergé plusieurs attaques de « Rock Phish » au mois de juillet qui lui vaut son entrée au classement.

Qu’est-ce que le phishing ?
Forme d'usurpation d'identité par laquelle, un pirate utilise un e-mail d'allure authentique afin de tromper son destinataire pour que ce dernier donne de manière consentante ses données personnelles, telles qu'un numéro de carte de crédit, de compte bancaire ou de sécurité sociale.

Qu’est-ce que le pharming ?
Installer un site factice contenant des copies de pages d'un site officiel dans le but de recueillir des informations confidentielles sur les utilisateurs du site officiel. En piratant les serveurs DNS (Domain Name Server) et en changeant les adresses IP, les utilisateurs sont dirigés automatiquement sur des sites fictifs

Qu’est-ce qu’un cheval de Troie ?
Programme apparemment sans danger contenant un code malveillant qui permet la récupération, la falsification ou la destruction de données.