Symantec profite de la période très active des fêtes de fin d’années pour faire le point sur l’essor du Black Market après les récentes violations de données d’envergures dans l’underground. Infographie à la clef.
Premier constat, le prix des comptes de messagerie volés a considérablement baissé, mais la valeur des autres biens et services illégaux est cependant demeurée stable.
Pendant la saison des vacances et des fêtes de fin d’année, les internautes parcourent la Toile pour trouver les meilleures offres pour les cadeaux. Mais les consommateurs ordinaires ne sont pas les seuls en quête de bonnes affaires à cette époque de l’année. En effet, une impressionnante foule de cybercriminels cherchent à exploiter le phénomène afin de piéger leurs victimes et d’utiliser les marchés noirs souterrains du Deep Web pour acheter et vendre des biens et services illégaux. Données personnelles volées, comptes en ligne compromis, logiciels malveillants, services d’attaque d’infrastructure (DDoS) via botnet, bons et tickets frauduleux, et bien d’autres choses peuvent être achetés si vous savez où aller…
Les prix des biens et services illégaux peuvent varier considérablement, en fonction de ce qui est offert, mais de bonnes affaires exister même pour les cybercriminels ayant les budgets les plus serrés. Les attaquants peuvent par exemple se procurer des données volées et des comptes compromis pour moins d’un dollar ! Les plus gros services tels que les attaques sur les infrastructures peuvent quand à eux coûter de cent à quelques milliers de dollars selon la puissance désirée. Toutefois, compte tenu des gains potentiels que les attaquants pourraient faire en mettant hors service l’infrastructure ciblée, le coût initial peut valoir le coût pour eux et être négligeable.
Voici l’infographie créée par Symantec, où vous trouverez les prix indicatifs des différentes choses illégales pouvant être trouvées sur le Deep Web actuellement :
Compte tenu de tous les violations de données en ligne et de divers incidents ayant touchés des points de vente physiques via des malwares sophistiqués au cours des 12 derniers mois, on pourrait penser que les marchés souterrains parallèles sont inondés de données volées, provoquant alors une chute globale des prix. Curieusement, cela ne semble pas être le cas pour toutes les marchandises illégales sur ces marchés noirs.
Etat des lieux du marché noir underground
Alors que certains marchés illégaux sont visibles sur l’Internet public, la couverture autour des sites undergrounds a augmenté cette année, forçant de nombreux escrocs à se déplacer vers les parties les plus sombres de l’Internet, le Deep Web. Par exemple, certains forums spécialisés dans le piratage et la revente de données bancaires volées sont maintenant hébergés au sein de services cachés sur le réseau anonyme décentralisé TOR. Les autres marchés noirs ne sont accessibles qu’avec une invitation et nécessitent un “buy-in” (fournir quelque chose pour entrer et prouver ses intentions, ndlr), ce qui pourrait impliquer la fourniture de services ou de données volées comme par exemple un lot de 100 cartes de crédit fraîchement dérobées (“fresh cvv”). D’autres marchés fonctionnent dans un cadre privé restreint et ont des procédures de contrôle rigides pour les nouveaux utilisateurs. Dans ces cercles fermés, les prix sont généralement beaucoup plus faible et le montant négocié pour des biens ou des services est plus élevé.
Données volées à vendre au plus offrant
Les prix ont chuté pour certains types de données, tels que les comptes de messagerie, mais ils restent néanmoins stables pour des informations plus rentables comme les informations de compte bancaire en ligne. En 2007, les comptes de messagerie volés valaient entre $4 et $30. En 2008, les prix ont fluctué entre $0,10 et $100. En 2009, le prix oscillait entre $1 et $20. Aujourd’hui, vous pouvez obtenir 1000 comptes de messagerie volés pour $0,50 à $10. Le dernier prix est une bonne indication prouvant qu’il y a maintenant une offre excédentaire et que le marché s’est ajusté en conséquence.
D’autre part, la valeur pécuniaire des informations de carte de crédit n’a pas diminuée au cours des dernières années. En 2007, cette information était annoncée à entre $0,40 et $20 la pièce. La tarif peut cependant dépendre d’un certain nombre de facteurs, tels que la marque de la carte (VISA, MasterCard, etc), le pays d’où elle provient, le nombre des métadonnées de la carte fournie, des escomptes de volume, et récemment, de la méthode par laquelle les données de la carte ont été volés. En 2008, le prix moyen demandé pour les données de carte de crédit étaient légèrement plus élevés, de $0,06 à $30, et plus tard dans l’année, il est passé entre $0,85 et $30. Aujourd’hui, les prix pour ce type de données bancaires varient entre $0,50 et $20. De manière générale, les prix des données de cartes de crédit ont légèrement diminué au cours des dernières années, en particulier dans les cas où les cybercriminels négocient des volumes en vrac.
Bien sûr, nous n’avons aucune visibilité sur les opérations et nous ne savons pas combien les acheteurs payent effectivement l’extrémité supérieure de la fourchette de prix. La qualité des biens volés est également discutable, car certains vendeurs tentent de vendre des données anciennes et périmées ou de revendre les mêmes données de multiples fois. Cela peut aussi expliquer pourquoi il y a eu un boom dans les offres de services complémentaires qui vérifient que les comptes du vendeur sont toujours actifs ou qu’une carte de crédit n’a pas encore été bloquée. La plupart des marchés souterrains pirates fournissent même une garantie concernant la fraîcheur des données et remplace gratuitement les cartes de crédit bloquées dans les 15 minutes suivant l’achat. Bien entendu, selon la demande, quelqu’un interviendra afin de combler l’écart sur le marché.
Location de services d’attaques
Le concept “Crimeware-as-a-service” est également devenu très populaire sur les marchés souterrains et est de plus en plus demandé. Les pirates peuvent facilement louer toute l’infrastructure nécessaire pour faire fonctionner un réseau de zombies ou d’autres escroqueries en ligne. Cela rend la cybercriminalité facilement accessible pour les pirates informatiques en herbe qui n’ont pas les compétences techniques pour mener une campagne d’attaque de ce genre par leurs propres moyens.
Un kit d’exploitation drive-by download, comprenant des mises à jour régulières et un support 24/7, peut être loué entre $100 et $700 par semaine. Le cheval de Troie bancaire SpyEye (détecté en tant que Trojan.Spyeye) est offert quand à lui à partir de $150 jusqu’à $1250 sur un bail de six mois, et des attaques par déni de service distribué (DDoS) peuvent être commandées à partir de $10 jusqu’à $1000 par jour. Tout produit ou service directement lié à un profit pécuniaire pour l’acheteur conserve un prix de marché solide et ne baisse pas.
Distribution de coupons, billets et tickets frauduleux
Les cybercriminels sont toujours à la recherche de nouvelles stratégies pour encaisser des profits. Les chèques et cartes-cadeaux en ligne sont actuellement en vogue, car ils peuvent facilement être échangés ou vendus en ligne. Les attaquants en achètent en utilisant des cartes de crédit volées ou en génère via des systèmes de détaillants en ligne piratés et détournés. Ils vendent ensuite les chèques et cartes-cadeaux en ligne pour 50 à 65 pour cent de leur valeur nominale. Les cybercriminels peuvent également vendre des chambres d’hôtel, des places pour une compagnie aérienne, ou encore des billets de train pour environ dix pour cent du prix de vente d’origine. Bien sûr, ceci est très risqué pour les gens qui achètent ces billets. Récemment, 118 personnes ont été arrêtées dans une opération mondiale sur des soupçons d’utilisation de faux billets ou d’obtention de données de cartes bancaire volées pour acheter illégalement des billets d’avion. L’industrie du transport aérien estime que les billets frauduleux coûtent environ 1 milliard de dollars de perte par an.
Les anciennes méthodes telles que le re-routage de paquets de marchandises achetées illégalement ont diminué en popularité. Cette méthode consistait à acheter des biens coûteux avec des cartes de crédit volées et et de les expédier ensuite à un bénévole non impliqué (une mule, ndlr), qui “reships” (renvoie) alors les marchandises à la boîte postale anonyme de l’attaquant qui pourra ensuite les revendre à sa guise. Cela devient plus difficile à faire, puisque de nombreux magasins n’expédient plus qu’à l’adresse liée à la carte de crédit ayant servie au règlement. Cela a également conduit les attaquants à aller chercher sur place les articles dans un magasin physique à proximité, plutôt que de se les faire expédier quelque part.
Le marché noir souterrain en expansion
Ces exemples ne sont pas les seuls biens et services offerts sur les marchés souterrains. Aussi on peut notamment citer les suivants :
- Scans de vrais passeports ($1 à $2), qui peuvent être utilisés à des fins d’usurpation d’identité
- Comptes de jeux en ligne volés ($10 à $15), ce qui peut donner accès à des objets virtuels précieux monnayables
- Malware personnalisé ($12 à $3500), par exemple des outils pour dérober des Bitcoins en détournant les paiements vers les attaquants
- 1000 followers/amis/contacts sur les réseaux sociaux ($2 à $12)
- Comptes cloud volés ($7 à $8), qui peuvent être utilisés pour accueillir un serveur de commande et de contrôle d’un malware (C&C)
- L’envoi de spam à 1.000.000 adresses électroniques vérifiées dérobées dans des bases de données de sites piratés ($70 à $150)
- Téléphone mobile avec carte SIM de Russie enregistrée et activée ($100)
Vous l’aurez compris en lisant cet article, le marché underground est en plein essor et constitue une bonne raison pour laquelle il est important de protéger vos données personnelles et votre identité. Sinon, vous pourrez bien trouver vos renseignements personnels dans le panier d’un cybercriminel durant cette période de fêtes de fin d’année !
Symantec recommande les directives de sécurité de base suivantes :
- Toujours utiliser des mots de passe forts, et ne jamais les réutiliser sur d’autres sites
- Installer et mettre à jour un logiciel antivirus sur tous vos appareils pour empêcher les attaquants d’exploiter les vulnérabilités connues
- Lors de la saisie d’informations personnelles ou financières, assurez-vous que le site est sécurisé et que la connexion est chiffrée avec un certificat Secure Sockets Layer (SSL) par la recherche visuelle de l’icône du cadenas ou du «https» dans la barre d’adresse. Signaler tout comportement suspect avant de soumettre des informations sensibles en ligne
- Maintenez votre système d’exploitation et vos logiciels à jours
- Soyez prudent lorsque vous cliquez sur des liens envoyés par mails ou affichés sur les réseaux sociaux. Si quelque chose semble trop beau pour être vrai, alors c’est probablement un piège.
Les commentaires sont fermés.