Par Nigèle Toumi
Vous recevez un jour dans votre messagerie ce type de message :
« nous confirmons votre commande de ...€, cliquez ici pour déverouiller votre compte »
Cela m'est arrivé plus d'une fois pour mon compte ebay ou paypal.
Pourquoi le phishing ? Mauvaise question ! Il faut plutôt s'interroger sur comment savoir l'identifier et s'en protéger.
Un mot sur le phishing : c'est une opération frauduleuse qui incite à livrer ses propres codes d'accès liés à un service internet (banque, enchères en ligne...). Dès que le phisher a vos informations, il les utilise à son profit (vider votre compte bancaire...).
Il s'agit souvent d'un vaste réseau malveillant très organisé.
Voici les indices :
1/ Vol de l'identité
le phisher moissonne un maximum d'emails en envoyant des messages incitatifs en jouant avec la peur, l'envie, la cupidité (bref nos chers 7 pêchés capitaux). Experts en récolte d'emails, ils utilisent les robots qui survolent les moteurs de recherche (yahoo, google...) ou traquent les serveurs de courriels pour deviner le nom des abonnés. Il est facile de deviner qu'il existe un Pierre, Paul, Jacques@hotmail.com etc...
Une fois sa collecte bien fournie, les adresses sont vendues au poids, à quelques centimes d'euros selon le nom et la provenance. Le plus cher est l'anglais, l'allemand, le français puis l'espagnol, selon le pouvoir d'achat moyen des ménages.
Les grapilleurs d'adresses ont fait leur rôle (leur affaire reste assez prospère et à l'abri de toute poursuite judiciaire). Leurs principaux clients sont les phishers. A ce stade, le travail devient plus complexe.
En effet, pour bien mener son opération, le phisher doit tendre deux pièges : expédier le courriel d'incitation et fabriquer un faux site de banque ou autre, sans laisser de trace.
2/ Des réseaux de machines piratées
Le courriel est expédié à partir d'un réseau bâti de milliers de machines piratées (botnet). Chacune comporte un miniserveur d'envoi d'emails. Ce tas est constitué d'ordinateurs des particuliers infectés par des cheval de Troie.
Ces machines vampirisées sont pilotées à distance par des gens qui se nomment « gardiens de troupeaux » (bot herders). Ils louent leurs services aux plus offrants et coûtent plus cher que les vendeurs d'adresses cités ci-dessus.
Parfois, certains se font chopper par la cyber-anti-criminalité, qui trouve leur adresse IP. Mais désormais, ils utilisent deux techniques de camouflage efficaces : envoyer des ordres d'opérations par de multiples chemins d'un réseau P2P et changer très rapidement le numéro IP des serveurs.
Cette technique appelée « Fast Flux » rend caduque tout tentative de banissement d'une adresse, et l'élimination par isolation du « polluposteur zombie ».
3/ Des hébergeurs de sites sans scrupules
Une fois la question de l'éxpédition du courriel fait, le bandit doit activer son faux site bancaire auprès d'un hébergeur, même au nom de sociétés reconnues. Ces hébergeurs offrent soit des sites légitimes qui ont été piratés via une faille de la SQL (voir MySQL), soit des sites créés pour les besoins de la cause, et souvent masqués une fois de plus par des serveurs « Fast Flux ».
Ces hébergeurs opérent depuis la Chine ou des pays de l'Est pour la plupart, voire les USA. Leurs services coûtent trois à 10 fois plus cher qu'un abonnement chez un hébergeur honnête.
Néanmoins, en cas de blocage des adresses de sites frauduleux, ces mafieux garantissent le redémarrage du serveur en moins d'une semaine.
4/ L'art et la manière de se faire du pécule
Le phisher qui a les informations bancaires effectue des virements ou des achats d'objets de valeur dans les sites d'enchères. Dans le premier cas, le virement est versé par petits montants sur le compte en banque par l'intermédiaire (surnommé par les services de police une « mule »). Intermédiaire qui prélève au passage un léger pourcentage et effectue ensuite un second virement sur un compte offshore situé en Chine, aux îles Caïman ou dans tout autre paradis fiscal.
Dans le cas de l'utilisation d'un compte pour faire des achats, les objets sont soit revendus par d'autres « mules », soit expédiés à des filières parallèles qui en a émis le besoin. Ce sont souvent des aides logistiques servant aux groupuscules armés ou à des mouvements autonomes divers.
Que ce soit des objets ou de l'argent, la procédure reste toujours la même : l'intermédiaire vient brouiller les pistes en ajoutant une couche d'anonymisation supplémentaire. Certains phishers, plus prudents, évitent ce genre de trafic risqué et coûteux en revendant, sur des places de marchés mafieuses, ces paquets d'identités bancaires. Le retour sur investissement est cent à mille fois plus fiable que le chiffre d'affaires estimé, mais considérablement plus rapide et surtout sans risque.
Nigèle Toumi,
Webmaster et Copywriter du site http://guide-internet.info
Nigèle Toumi, Webmaster et Copywriter du site http://guide-internet.info