Ce qui suit est virtuel, bien que cela soit inspiré d’un fait réel rapporté par un lecteur anonyme d’UnderNews. En aucun cas, des noms ne seront cités. Imaginez une société française présente dans le secteur de e-commerce…
Un pirate indien que l’on nommera “l’attaquant” est en possession d’une faille “zero-day” concernant un CMS e-commerce datant de quelques temps. Il s’empresse d’utiliser Google afin de trouver au plus vite un nombre conséquent de sites Web de société utilisant le CMS en question et la version concernée par l’exploit. Pour cela, il utilisera les fameux “Google Dorks”, requêtes spécifiques au moteur de recherche pour trouver ses cibles.
En quelques minutes, il va avoir en main plusieurs dizaines voir même centaines d’URL potentiellement vulnérables qu’il va pouvoir attaquer. Ensuite, au cas par cas, il va viser en priorité les boutiques en lignes qui semblent les plus propices pour récolter des données privées. Parmi elles, un site e-commerce d’une société française qui a négligé la sécurité en souhaitant garder un CMS fonctionnel, ancien et non mis à jour.
Le pirate va tenter alors de lancer son exploit… Après avoir recherché les URLs faillibles, il l’exécute et le résultat ne se fait pas attendre : un fichier malveillant est uploadé sur le serveur de l’entreprise. Un Shell PHP plus précisément, qui se retrouve en accès libre via une URL bien précise, dans le répertoire images du système qui dispose d’un CHMOD 777. A partir de là, le pirate à la main sur une partie du système basé sur Unix et va pouvoir élargir son champ d’action afin d’augmenter ses droits en local après avoir découvert l’arborescence et le contenu du serveur.
Son objectif ? Il agit de façon rapide dans un but clairement lucratif. Il va se diriger directement vers la source d’informations intéressantes : la base de données MySQL. Malheureusement pour lui, la base est trop grosse et le téléchargement du dump SQL crash plusieurs fois d’affilées. Les dumps répétitifs vont provoquer de sérieux ralentissements sur le serveur et les administrateurs vont se douter de quelque chose. Après investigation rapides, le Shell PHP va être découvert et supprimé. Mais le temps d’analyser les logs afin d’identifier la faille utilisée par le pirate et la corriger, il va être trop tard.
L’attaquant va découvrir pendant ce temps que le site héberge des informations de cartes de crédit. Il va alors trouver un autre moyen et va générer des pages HTML à la volée en utilisant des bons de commandes internes contenant les informations bancaires en claires puis automatiser leur téléchargement via un logiciel en incrémentant les ID présents dans les URLs du système. Bilan quelques heures après : près de 3000 cartes de crédit dans les mains du pirate. Le tout, récupéré à partir de différents serveurs situés à l’étranger.
Deux sont des IP du Cloud Amazon, une est située au Maghreb et la dernière et la plus importante, en Inde. C’est depuis ce serveur privé loué anonymement que l’attaquant va récupérer les données piratées. Le serveur comprend un accès Web, un index diffusant des films et séries en HD. En bref, un serveur Warez. Dedans, un fichier texte relatant l’existence d’une board Warez indienne directement liée au serveur. C’est d’ailleurs sur cette même board, au sein d’un espace privé, que les données bancaires vont être revendus dans les 3 jours suivants. Le BlackMarket des informations bancaires est très lucratif et assez répandu à cause des nombreux malwares spécialisés dans le vol de ces derniers.
Une à deux semaine après, la société victime du pirate informatique va recevoir des remontées de clients ayant remarqué des paiements frauduleux sur leur compte bancaire, effectués via leur CB. Les transactions s’élèvent de 800 à 1000 € dans la plupart des cas, afin de palier aux limites des cartes bleues standard. Les achats sont variés, réservation d’hôtels, vols en avion, voyages ou encore matériel high tech.
La plainte aux gendarmes locaux ne servira au final pas à grand chose, mis à part aux statistiques. Étant donné que les serveur sont situés à l’étranger, aucune action n’est possible. Les victimes n’ont plus qu’à faire opposition sur leur carte et porter plainte en attendant de se faire rembourser par leur banque respective. Et les pirates ? Plus qu’à empocher leurs butin, profiter de leurs achats frauduleux ou encore revendre le matériel via des mules situées de part le monde.
Vous l’aurez compris, ce scénario de cyberattaque peut s’appliquer à de nombreux cas en France ou ailleurs. En espérant que vous apprécierez la petite histoire !
Cela fais vraiment peur, nous ne sommes a l’abri de rien du tout sur le net, mais merci pour ces explications car souvent la première chose a adopter et logique pour les victimes sont souvent obsolète.
Selon de droit français, les victimes étant en France, le dépot de plainte peut se faire ici et les enquêtes peuvent être diligentées depuis la France, même sur le sol étranger (cf. affaire d’avion Fr au Tchad, par exemple). Tout dépendra de la taille des ******** du juge.
Les commentaires sont fermés.