Il ressort de l’étude réalisée entre le 1er juillet et le 31 décembre 2007, quatre caractéristiques principales du modèle économique du crime électronique :

- Le recrutement d’équipes de spécialistes,
2/3 des attaques logicielles détectées sont le fait de pirates regroupés en réseaux.

- L’élaboration de modèles de tarification
Selon l’étude, les grilles de tarifs ont évolué pour se rapprocher désormais des pratiques de la grande consommation. La concurrence fait rage, les cyber-criminels doivent trouver des méthodes pour attirer et fidéliser la clientèle : échantillons de code, offres dégressives …

- L’externalisation de la production / Réimplantation
Des équipes d’experts spécialisés dans de nouvelles techniques se forment dans le monde entier, et sont généralement différentes d’un pays à l’autre. Nombreux sont ceux qui n’hésitent pas à se réimplanter dans les pays où la législation et les pratiques de sécurité sont plus laxistes.

- L’adaptation du business model à la nature du marché,
C’est le cas notamment dans le domaine de la fraude bancaire où les pirates doivent s’adapter à l’évolution des systèmes de sécurité des sociétés financières. Le numéro de carte de crédit ne suffit plus, les pirates doivent désormais usurper l’identité des utilisateurs.

• Tamiflu et liens commerciaux aux Pays-Bas
• Les noms géographiques ne font pas l’objet d’une protection particulière
• Les domainers : du business à la dérive
• Le luxembourg se donne les moyens de développer le commerce des noms de domaine.
• Chasse gardée pour les sponsors de la coupe du monde de Football

On utilise le terme de phishing lorsqu’un fraudeur tente de se passer pour une entité de confiance afin de soutirer de l’information confidentielle. En pratique, le fraudeur enregistre un nom de domaine composé du nom d’une banque ou d’une autre entité afin d’utiliser l’adresse électronique correspondante et ainsi paraître légitime aux yeux des destinataires de mails.

Dans les faits, la fraude consistait en l’envoi de mails multiples à des clients de banques ou de caisses d’épargne afin de soutirer les codes d’accès aux comptes des ces personnes.

La fraude a atteint plus de 3 millions d’euros au total avec des transactions oscillants entre 400 et 10 000 euros.

Parmi les 76 personnes arrêtées, on pouvait dénombrer 47 espagnoles, 5 ukrainiens, 6 guinéens, 4 roumains, 2 russes, 2 marocains, un hollandais, un vénézuélien, un allemand, un uruguayen, un brésilien, un arménien un jamaïcain, un camerounais, un argentin et un moldave.

Selon MacAfee, le fabricant d’antivirus, le nombre de pages web relatives au phishing a augmenté de 757% d’octobre 2005 à octobre 2006 et de 784 % au 1er trimestre 2007.

• Phishing bancaire ou pêche au gros
• Monster attaqué par un usurpateur
• Spams : les « pourriels » continuent d’augmenter
• Phishing au Credit Lyonnais
• La fraude au clic a augmenté de 16,6% sur le 4e trimestre 2007

Le système d’authentification DomainKeys associe une signature cryptée unique à un expéditeur lors de l’envoi d’emails. Si l’adresse email ne correspond pas à la signature, elle sera potentiellement filtrée en tant que spam. Yahoo! et Cisco sont les pionniers de cette technologie, utilisée également par de grands groupes fournissant des sytèmes de messagerie (IBM, Microsoft, Google …).

Cette solution présenterait plusieurs avantages, dont la détection plus élevée des attaques de phishing, le filtrage amélioré des emails à contenus falsifiés et un meilleur pistage des titulaires de noms de domaine. En revanche, le DKIM ne serait efficace contre le spoofing, qui consiste pour un expéditeur à falsifier son adresse e-mail afin que le destinaire ouvre le message, que s’il est adopté à grande échelle.

D’où l’enjeu de la standardisation concrète de cette technologie …

• Anti-phishing : vers la création d’un .safe ou .bank ?
• Les centres de R&D de Google en Europe
• Evolution du phishing : l’e-mail qui invite l’internaute à utiliser son téléphone
• Indexation du flash, à quoi ça sert ?
• PhishTank : La lutte communautaire contre le phishing

Un environnement virtuel plus sûr

D’après la société finlandaise de sécurité, la création d’un .safe, .sure ou .bank permettrait d’augmenter la fiabilité des sites financiers et bancaires, notamment par :

• l’amélioration du filtrage des emails
• un meilleur contrôle du trafic web
• l’accès restreint à l’enregistrement de .safe

L’urgence de parer les attaques de phishing

A l’heure où la fraude en ligne atteint des sommets, la protection de l’image de marque et des internautes devient impérative. En janvier 2007, l’Anti-Phishing Working Group (APWG) a reporté 29930 emails à de fins de phishing, soit un nouveau record d’attaques malveillantes enregistrées par l’association.

Evolution du nombre d’emails à des fins de phishing
entre janvier 2006 et janvier 2007

Source : APWG

• Le phishing en chiffres
• 76 personnes arrêtées pour avoir organisé un réseau de fraude au phishing
• Phishing au Credit Lyonnais
• Evolution du phishing : l’e-mail qui invite l’internaute à utiliser son téléphone
• Augmentation du Phishing bancaire en France

La lutte contre le phishing doit surmonter plusieurs difficultés, notamment :

- la multiplication des sites de phishing,

- les formes diverses du phishing (par emails, sms …),

- la durée courte des campagnes.

Le concept et la force du projet

Le projet PhishTank, lancé par OpenDNS, permet de rassembler une communauté d’internautes dont le but est d’identifier les "Bad Guys" du phishing. Le principe est simple :

• soumettre des sites suspectés de phishing auprès de PhishTank
• vérifier les sites soumis par les autres contributeurs

Cette approche Open Source offre plusieurs avantages dont la mise à jour constante des liens grâce à une forte mobilisation du public, la complémentarité des bases de données PhishTank avec celles des sociétés de lutte contre le phishing.

Les défis de Phishtank

Au delà de ces apports, le projet en lui-même est confronté à des enjeux importants. La qualité et le contrôle des adresses URLs ne semblent obéir à aucun critère rigide. Le risque est de voir ainsi les bases de données polluées par la simple accumulation d’URLs. Par conséquent, l’étape préalable à la soumission des URLs serait l’éducation aux dangers et à la reconnaissance du phishing.

La question de la motivation des contributeurs se pose également. L’information a de la valeur ajoutée grâce à l’enrichissement régulier de la base de donnée. Le modèle étant soumis à la volonté des participants, son efficacité à long terme risque de devenir de plus en plus préoccupante.

• Les publicités japonaises encouragent l’utilisation des moteurs de recherche
• Les "hoaxes", ou canulars du web
• Le phishing en chiffres
• Fond de placement "Premium Brands"
• Evolution du phishing : l’e-mail qui invite l’internaute à utiliser son téléphone

La fraude financière se taille une nouvelle entrée sur Internet. Le «pump and dump» (aussi appelé «stock dump») consiste à gonfler artificiellement le prix d’une action dans le but de réaliser une forte plus-value lors de la revente.

Le spammeur lance une campagne pour promouvoir les actions d’une société en envoyant massivement des e-mails. Le spam boursier vise le plus souvent des actions dont le cours est relativement bas. La société ciblée n’a généralement pas connaissance de l’utilisation abusive de sa marque ou de sa dénomination sociale dans les spams
à des fins spéculatives.

Avec le développement d’Internet, il devient simple et économique d’atteindre un grand nombre d’investisseurs potentiels. Actuellement, environ 15% des spams seraient du spam boursier (source : Sophos).

• Une société condamnée pour cybersquatting : publication du jugement sur son site
• Spams : les « pourriels » continuent d’augmenter
• Anti-phishing : vers la création d’un .safe ou .bank ?
• Telecom Italia choisi ALICE
• La course au .eu: comment se préparer pour être au point le jour J?

Ce que l’on appelle en général slamming s’applique également aux noms de domaine. Le domain slamming consiste pour un registrar malhonnête à tromper une entreprise dans le but de lui faire souscrire des services non sollicités.

L’AFNIC a observé une recrudescence de cette dérive depuis le début de l’année 2006 (voir AFNIC).

Le slamming peut prendre la forme d’un mail contenant une fausses facture de renouvellement adressée à l’entreprise. Ce mail est en réalité une autorisation de transfert de noms de domaine. Le slamming peut également se traduire par un faux mail alertant l’entreprise que des tiers tentent d’enregistrer des noms de domaine proche de ses marques et de ses dénominations sociales.

Les abus se suivent et se ressemblent (presque). En voici les principaux symptômes : le mail non sollicité, la menace (ex. : enregistrement abusif), l’urgence (ex. : délai de 24 heures, de 7 jours), des prix d’enregistrement nettement supérieurs aux prix de base.

Les slammers exploitent au final les mêmes failles que les phishers : les faiblesses humaines, dont la confiance, la crédulité et l’ignorance (voir traquer et identifier les fraudes).

• Blocage par l’EURid de 74 000 noms de domaine suspects
• Nom de domaine : Numéricâble oublie le renouvellement de modulonet.fr
• NetworkSolutions® coupable de Front Running ?
• .mobi : ouverture du « Premium name trademark application period »
• domain tasting, domain kiting…les pratiques les plus décriées du moment

« Junk e-mails », « pourriels », « spams » … Tant de
dénominations pour qualifier les e-mails indésirables. Ces derniers poursuivent leur ascension, avec des effets toujours aussi néfastes : perte de productivité, collecte des informations privées …

Les spammers continuent d’utiliser malicieusement la notoriété des marques. Parmi les marques les plus détournées, on trouve les médicaments (Viagra, Cialis …), les marques de luxe (Rolex, Cartier), ainsi que les institutions financières et bancaires.

Avec le développement de nouvelles formes de phishing, les internautes doivent se montrer de plus en plus vigilant vis-à-vis des tentatives d’abus de confiance en ligne. Le smishing (combinaison de SMS et phishing) et le vishing (VoIP et phishing) comptent parmi les derniers types d’attaques détectés.

A suivre …

Volume de spams par catégorie en 2006

D’après TopTenReviews

• Anti-phishing : vers la création d’un .safe ou .bank ?
• Phishing bancaire ou pêche au gros
• Evolution du phishing : l’e-mail qui invite l’internaute à utiliser son téléphone
• Pump and dump : Quand le spam rejoint la Bourse
• Le phishing en chiffres

Le phishing traditionnel (« par clic »), qui a récemment visé les utilisateurs de Gmail (source : vnunet.com), est en train d’être concurrencé par un nouveau venu : le phishing « par téléphone ».

Phishing : du site internet corrompu au serveur vocal piégé

Le point de départ est identique au phishing classique : l’internaute reçoit un e-mail provenant a priori d’une entreprise très connue. Lanouveauté est que le message ne lui mentionne non pas de cliquer sur un lien, mais de composer un numéro de téléphone qui aboutit sur un serveur vocal. Ce soi-disant service demande ensuite à l’individu de fournir des informations privées, notamment bancaires. Dès lors que l’opération est effectuée, l’arnaque est réussie.

L’objectif inchangé des phishers : la récupération des informations bancaires

La majorité des sites de phishing sont hébergés aux Etats-Unis et l’industrie bancaire reste le principal secteur visé par ce type de fraude (voir graphiques ci-dessous). La société Paypal Ltd, appartenant au groupe eBay, en a dernièrement fait les frais. La marque de l’entreprise a été utilisée frauduleusement dans des e-mails qui incitaient les victimes à céder leurs coordonnées bancaires via une boîte vocale (source : JDN). Avec le marché en pleine expansion de la voix sur IP (VoIP), les phishers risquent d’avoir de plus en plus recours à cette technologie (source : Cloudmark).

• Monster attaqué par un usurpateur
• Phishing bancaire ou pêche au gros
• 76 personnes arrêtées pour avoir organisé un réseau de fraude au phishing
• Phishing au Credit Lyonnais
• Anti-phishing : vers la création d’un .safe ou .bank ?

Alors ne vous méprenez pas, mais Ericsson ne distribuera pas des portables gratuitement, Bill Gates ne partagera pas sa fortune si vous transférez les mails en question au plus grand nombre de contacts.

Derrière ces canulars, les risques sont multiples : intoxication des boîtes mails, fuite des données personnelles (adresse électronique, nom, …) dans le but de les revendre, atteinte à l’image de personnes et de marques, au risque de décevoir les consommateurs.

Des sites préventifs énumèrent et aident à reconnaître les mensonges répandus sur le web, parmi lesquels :

- http://www.hoaxbuster.com/ et http://www.hoaxkiller.fr/

- http://www.certa.ssi.gouv.fr/site/CERTA-2000-INF-005/

- http://hoaxbusters.ciac.org/

A noter que HoaxBuster fournit également des exemples de phishing bancaire (lire Phishing BNP-Paribas et Qu’est-ce un phishing bancaire ?).

• Evolution du phishing : l’e-mail qui invite l’internaute à utiliser son téléphone
• 76 personnes arrêtées pour avoir organisé un réseau de fraude au phishing
• Monster attaqué par un usurpateur
• Le phishing en chiffres
• Phishing bancaire ou pêche au gros