La fraude en ligne évolue constamment. Parmi les principales menaces, les technologies de « phishing » et de « pharming » représentent les vagues de criminalité organisée les plus sophistiquées et innovantes menaçant le commerce en ligne. Les fraudeurs disposent en effet aujourd’hui de nouveaux outils et d’une réactivité d’adaptation sans précédent.

Le Centre de commande anti-fraude AFCC (Anti-Fraud Command Center) de RSA assure une veille permanente (24×7) afin de détecter, contrôler, tracer et annihiler les attaques de phishing, de pharming et de Chevaux de Troie pour plus de 200 établissements majeurs dans le monde. À ce jour, le Centre AFCC a mis fin à plus de 60 000 attaques de phishing ; il constitue une précieuse source d’information pour l’ensemble de l’industrie sur les menaces émergentes pesant sur le commerce électronique.

Les statistiques mentionnées dans ce rapport sont extraites du référentiel anti–phishing constitué par le Centre de commande AFCC dans le cadre de ses activités ; elles permettent de réaliser de brèves analyses et des représentations graphiques des tendances – étayées par l’expertise exclusive des analystes du Centre AFCC.

Au sommaire ce mois-ci…A vendre : Cheval de Troie « Zeus » – Prêt à l’emploi !

RSA a constaté ces derniers temps une présence accrue du Cheval de Troie « Zeus » (aussi connu sous le nom de « wsnpoem ») dans des attaques ciblant des établissements financiers dans le monde entier. Il s’agit d’un logiciel extrêmement convivial et simple permettant aux fraudeurs – après avoir pris le contrôle d’un serveur vulnérable ou en utilisant leurs propres serveurs sous-jacents – d’installer son volet d’administration, de créer un nom d’utilisateur et un mot de passe et de passer à l’attaque… Le module d’administration de Zeus est très simple à contrôler et peut être pris en main par un délinquant débutant.

Plus récemment, nous avons même détecté un nouveau service simplifiant encore l’installation et le déploiement d’attaques Zeus puisque certains réseaux « underground » proposent désormais une solution « tout-en-un » intégrant un serveur d’hébergement « à l’épreuve des balles », le panneau d’administration Zeus et différents outils d’infection…

En quoi est-ce si intéressant ?

Le processus habituel de déploiement d’attaques nécessite plusieurs étapes :

– Localisation d’un serveur fiable capable de gérer un flux continu d’attaques et de sauvegarder les habilitations dérobées

– Achat du Kit Zeus et installation de son panneau de contrôle sur le serveur

– Obtention d’outils d’infection efficaces et diffusion généralisée du Cheval de Troie

La fraude en ligne évolue constamment. Parmi les principales menaces, les technologies de « Phishing » et de « Pharming » représentent les vagues de criminalité organisée les plus sophistiquées et « innovantes » menaçant le commerce en ligne. Les fraudeurs disposent en effet aujourd’hui de nouveaux outils et d’une réactivité d’adaptation sans précédent.

Le Centre de commande antifraude AFCC (Anti-Fraud Command Center) de RSA assure une veille permanente (24×7) afin de détecter, contrôler, tracer et annihiler les attaques de Phishing, de Pharming et de Chevaux de Troie pour plus de 275 établissements majeurs dans le monde. À ce jour, le Centre AFCC a mis fin à plus de 80 000 attaques de Phishing dans 185 pays. En 2007 seulement, le centre AFCC a mis fin à plus de 39 000 attaques pour plus de 260 clients ; il constitue une précieuse source d’information pour toute l’industrie sur les menaces émergentes pesant sur le commerce électronique.

Les statistiques mentionnées dans ce rapport sont extraites du référentiel anti–phishing constitué par le Centre de commande AFCC dans le cadre de ses activités ; elles permettent de réaliser de brèves analyses et des représentations graphiques des tendances – étayées par l’expertise exclusive des analystes du Centre AFCC.

À propos du Cheval de Troie Zeus

Zeus concrétise les dernières avancées de l’évolution des logiciels de criminalité financière – qui avait débuté avec « Limbo » – dont l’objectif central est de capturer les saisies clavier (avec un module de « key logging ») des utilisateurs infectés accédant à certaines pages Web – y compris à des pages protégées par des protocoles SSL. Zeus complète cet arsenal par une quantité impressionnante de mécanismes d’autoprotection et de cryptage des communications et des informations dérobées – envoyées à son point de stockage. Par comparaison avec des Chevaux de Troie plus communs (tels que « Limbo » et les variantes de « Snatch »), Zeus utilise un mode de cryptage beaucoup plus délicat à contrer – une de ses dernières variantes communiquant même avec ses ressources Internet à travers des connexions SSL.

L’infrastructure d’attaque Zeus prête à l’emploi est désormais offerte à la location aux fraudeurs sous forme d’un service intégrant tous les composants précédemment évoqués dans un package complet. En d’autres termes, il leur suffit d’acquitter le montant de la location pour accéder à un serveur Zeus loué, créer des points d’infection et commencer la collecte de données.

Le serveur est équipé de la dernière version du panneau de contrôle Zeus et intègre des packages de déploiement facilitant les infections par Zeus et permettant aux fraudeurs de contaminer plus simplement les postes des utilisateurs et de faire croître leur réseau de machines relais (« Botnet »). En synthèse, les réseaux « underground » offrent désormais aux fraudeurs un package de service complet pour lancer une attaque Zeus ainsi que des serveurs équipés d’un système d’exploitation stable et de modules ergonomiques de contrôle de l’hébergement Web, rendant le déploiement de l’attaque toujours plus simple.

Le panneau de contrôle d’hébergement est manipulable par n’importe quel fraudeur — il s’agit d’une application commerciale ayant connu dernièrement un certain succès dans les milieux de la criminalité financière. Par ailleurs, les serveurs disposent de ressources de stockage suffisantes pour collecter de grandes quantités d’habilitations et pour multiplier les informations dérobées lors d’attaques lancées par plusieurs groupes ou d’attaques uniques ciblant un large public.

Une fois encore, il n’a jamais été aussi simple de créer des infrastructures d’hébergement d’une attaque Zeus et de la mener à bien…

RSA Online Fraud Report

1. Répartition géographique des banques ciblées par des attaques de phishing

Analyse de tendance

La distribution des entités ciblées reste relativement similaire aux mois précédents. Les marques américaines étant les plus attaquées, suivies par les établissements britanniques (pour le 15ième mois consécutif) et comme d’habitude par l’Espagne, l’Italie et le Canada. Nous constatons également une extension vers la zone Asie-Pacifique – l’Australie et la Nouvelle-Zélande figurent au classement en mars et en avril.



2. Nombre mensuel de marques attaquées

Analyse de tendance

En dépit d’une augmentation du nombre total d’attaques, celui des marques attaquées décroît légèrement. Cependant, même avec cette baisse relative, Avril est le deuxième mois pour le nombre de marques attaquées au cours de l’année écoulée. Ce mois-ci encore, plus de 30 établissements qui n’avaient jamais été attaqués ont été la cible d’attaques de phishing.



3. Segmentation des marques bancaires américaines victimes d’attaques de phishing

Analyse de tendance

La distribution des entités américaines attaquées ne change guère ce mois-ci : les banques nationales, aux alentours de 30 % depuis décembre 2007, restent dans l’épure à 28 % ; les banques régionales et le secteur coopératif varient également assez peu d’un mois sur l’autre (respectivement + 1 % et – 6 %). Ces deux groupes représentent légèrement plus des deux tiers des établissements américains touchés. Ces chiffres n’indiquent aucune tendance manifeste et devront être suivis sur une période plus longue dans la mesure où la distribution des marques attaquées a été très instable au cours de l’année écoulée.



4. Principaux pays d’hébergement

Analyse de tendance

Les États-Unis restent en tête du palmarès pour avoir hébergé le plus grand nombre d’attaques — avec une diminution pourtant conséquente de 12 % par rapport au mois précédent. La Chine, qui ne figurait plus dans la liste depuis mars, y fait retour remarqué en seconde position (19 % de toutes les attaques) lié à l’enregistrement de multiples domaines Rock Phish et Fast-Flux au cours du mois. Comme en février et en mars, l’Allemagne, la Corée du Sud et le Royaume-Uni occupent les trois places suivantes. Le reste de la liste est inchangé – si ce n’est par l’apparition de « Tokelau », un territoire de Nouvelle-Zélande ayant également hébergé plusieurs domaines Fast-Flux en avril. Pour le deuxième mois consécutif, le Canada et Hong Kong – tous deux des « habitués » du Top 10 – n’y figurent plus.



RSA et le logo de RSA sont des marques ou marques déposées de RSA Security Inc. aux États-Unis et/ou dans d’autres pays. EMC est une marque d’EMC Corporation. Toutes les marques mentionnées sont la propriété de leurs détenteurs respectifs.

***********************************************
Qu’est-ce que le phishing ?
Forme d’usurpation d’identité par laquelle, un pirate utilise un e-mail d’allure authentique afin de tromper son destinataire pour que ce dernier donne de manière consentante ses données personnelles, telles qu’un numéro de carte de crédit, de compte bancaire ou de sécurité sociale.

Qu’est-ce que le pharming ?
Installer un site factice contenant des copies de pages d’un site officiel dans le but de recueillir des informations confidentielles sur les utilisateurs du site officiel. En piratant les serveurs DNS (Domain Name Server) et en changeant les adresses IP, les utilisateurs sont dirigés automatiquement sur des sites fictifs

Qu’est-ce qu’un cheval de Troie ?
Programme apparemment sans danger contenant un code malveillant qui permet la récupération, la falsification ou la destruction de données