Zérospam

Le 26 mai dernier, dans le cadre de la cinquième édition du colloque sur la cybercriminalité qui avait lieu à l'École Polytechnique de Montréal, David Poellhuber, président et chef de l’exploitation de la société ZEROSPAM, présentait la conférence «  Phishing 2.0 ». Voici un bref aperçu du contenu de cette allocution.

ZEROSPAM occupe une position d'observateur privilégié pour étudier le phénomène du phishing car l’entreprise bloque les courriels nuisibles pour ses clients. Les courriels hameçons sont arrêtés en amont du serveur des clients, au moment même où ils sont transmis.

Depuis environ un an, ZEROSPAM note une importante croissance des attaques contre les réseaux sociaux comme Facebook et Myspace. Alors que le courriel hameçon classique tente d’amener la victime à révéler des renseignements personnels qui permettront ensuite aux polluposteurs de la frauder, dans les réseaux sociaux, les techniques de phishing sont utilisées dans le but d’envoyer du spam. Les polluposteurs y font appel pour pirater l’accès d’un membre en imitant le portail du réseau. Ce n’est pas extrêmement difficile et de nouveaux faux sites Facebook font leur apparition chaque mois.

Bien sûr, la taille imposante de ces réseaux, qui comptent des dizaines de millions de membres, les intéresse mais c’est surtout la relation de confiance qui existe entre les membres qui les attire. Car une fois qu’ils ont piraté l'accès d'un membre, ils peuvent expédier des messages à son groupe d'amis et aux autres groupes auxquels ce membre appartient. Ces messages jouiront de la crédibilité du membre dont l’identité a été usurpée; ils auront donc beaucoup plus de chances d'être ouverts.

C'est précisément cette technique qu’a utilisée, en novembre 2008, le polluposteur montréalais qui fut condamné par un tribunal américain à une amende record de 873 millions de dollars US. Mentionnons qu'il s'agit d'une poursuite civile dont le jugement a bien peu de chance d'être exécuté ici au Canada, seul pays du G8 sans législation spécifique contre les courriels frauduleux.

Cette situation pourrait néanmoins changer. Après la mort au feuilleton du projet de loi anti-pourriel privé S235 proposé par le sénateur Olivier en 2007, le sénateur Yoine Goldstein a repris le flambeau en présentant le projet de loi S220. Ce projet de loi intégrait des notions nouvelles destinées à en faciliter l’application, notamment l’idée qu'un message reçu au Canada était réputé avoir été envoyé depuis le Canada. Les infractions prévues étaient de nature criminelle. Si elle avait été votée, cette loi aurait donc eu un effet dissuasif beaucoup plus important que d’autres propositions imposant seulement des recours civils. Mais maintenant que le sénateur Goldstein a pris sa retraite, le projet S220 demeurera lettre morte. Au moment où le projet de loi S220 s’éteint, le gouvernement présente le projet C27 qui interdit les messages frauduleux, prescrit le consentement du destinataire pour l'envoi de messages commerciaux (« opt-in ») et exige le consentement de l’utilisateur pour l’installation de logiciels sur un poste de travail. L’administration de la loi est confiée au bureau de la concurrence et au CRTC qui doivent prescrire des amendes « selon la capacité de payer des contrevenants ». Le projet de loi C27 ne fait donc pas du pollupostage ou du phishing un acte criminel. Compte tenu du fait que la valeur de ce type de loi réside d’abord et avant tout dans son effet dissuasif et que l’énergie requise pour mener à bien une enquête est considérable, ce dernier projet de loi rate la cible.

Pendant ce temps, la diffusion des courriels hameçons se poursuit. Les experts de ZEROSPAM ont observé les campagnes ayant visé les institutions financières canadiennes entre mars 2008 et avril 2009 et ont dégagé les données présentées ci-dessous. Celles-ci ont été colligées sur un trafic moyen de 1,5 million de messages par jour.

On constate que les sites de phishing ne génèrent pas beaucoup de trafic. On constate qu’un petit nombre de campagnes soigneusement menées est responsable d’une grande partie du trafic. Ainsi, 3 % des URL de phishing peuvent être liés à 46 % des courriels hameçons envoyés. La durée moyenne d'une campagne d'envoi est de 32,8 heures mais certaines ont une durée de vie très longue, pouvant atteindre plusieurs mois. Les outils logiciels et les infrastructures d'envoi sont les mêmes, quelle que soit la cible. Les campagnes de phishing viennent par vagues de courte durée, qui se mesurent généralement en semaines, ce qui suggère qu'une portion des zombies utilisés pour les envois sont en fait des postes de travail en entreprise. Il existe aussi un certain bruit de fond entre les campagnes massives; chaque institution est visée chaque jour par un certain nombre de messages frauduleux. Il pourrait s'agir d'envois de type « fast-flux » pour lesquels la provenance des messages et les noms de domaines utilisés pour l’envoi changent de manière extrêmement rapide afin que les messages puissent rester sous le radar des engins de détection.

Le phishing tel qu'on le connaît est une menace bien établie et il persiste car il est rentable. Les cybercriminels ont maintenant investi le monde des réseaux sociaux en profitant des failles de sécurité qu’ils présentent. En effet, si les portails de ces réseaux étaient pourvus de mécanismes d’authentification sophistiqués et ou si leur architecture se rapprochait de celle des sites Web d’institutions bancaires, les polluposteurs auraient beaucoup plus de mal à tendre leurs filets. Malheureusement, ce n’est pas le cas.  Même s’il est encourageant de voir que notre gouvernement s’intéresse au phénomène du spam et des courriels hameçons, à l’heure actuelle, le fardeau de la sécurité incombe aux individus et aux entreprises. Ceux-ci doivent protéger leurs infrastructures et leur identité et tous doivent faire des efforts de sensibilisation, surtout auprès des clientèles plus jeunes et plus vulnérables telles que celles des réseaux sociaux.

Chaque jour, des milliers de victimes innocentes se font frauder par des polluposteurs sans scrupules qui parviennent à leur soutirer des renseignements leur permettant d’accéder à leurs comptes bancaires. L’industrie de l’hameçonnage est une sombre entreprise dont les rouages sont complexes et bien réglés. ZEROSPAM vous propose une visite guidée des dessous de ce phénomène qui, selon la Federal Trade Commission, un organisme américain de protection des consommateurs, fait neuf millions de victimes par année aux États-Unis.

Personne n’est réellement à l’abri des courriels hameçons. Le président Français Nicolas Sarkozy s’est lui-même fait prendre au piège au cours de l’automne 2008. Mais comment les cybercriminels s’y prennent-ils pour arriver à leurs fins? Qui sont leurs complices? Voyons d’un peu plus qui intervient dans une campagne d’hameçonnage et comment.

Les acteurs
Contrairement à ce qu’on pourrait croire, une campagne d’hameçonnage n’est pas le fait d’un seul malfrat mais bien le produit du travail d’un réseau complexe, bien organisé et techniquement très compétent. Pour que la mécanique fonctionne, l’intervention de cinq acteurs est requise : l’envoyeur, l’hébergeur, la banque, la mule et l’opérateur. Tous ne sont pas des coupables, même que la plupart d’entre eux sont des victimes. Penchons-nous sur le rôle de chacun.

L’envoyeur
L’expéditeur du message n’est pas le coupable. D’ailleurs, en général, ce n’est même pas un humain. Les courriels hameçons envoyés à des millions d’exemplaires proviennent essentiellement de réseaux constitués de milliers d’ordinateurs infectés (« botnets »). L’ordinateur de votre belle-mère ou de celui de votre voisin peuvent faire partie de ces réseaux. En fait, tout ordinateur qui n’est pas suffisamment bien protégé au moyen d’un logiciel antivirus efficace et à jour est vulnérable à ce type d’attaque. Une fois infectés, ces ordinateurs sont contrôlés à distance par les cybercriminels à l’insu de leur propriétaire. C’est pourquoi on les appelle zombies. Contrôlés dans quel but? Vous l’aurez deviné! Pour l’envoi massif de pourriels, virus et courriels hameçons. C’est ainsi que l’envoyeur devient lui-même une victime.

L’hébergeur
Si on se fie aux apparences, les courriels hameçons ont tout l’air de provenir d’une institution financière, d’une agence gouvernementale ou d’une entreprise commerciale (eBay, par exemple). Leur ton, leur image et le domaine à partir duquel ils semblent être envoyés donnent à croire qu’il s’agit bien de courriels légitimes. Le contenu du message est conçu de manière à pousser la victime à cliquer sur un lien. Ce lien mène vers un site Web qui imite lui aussi l’apparence de l’entité au nom de laquelle le courriel a été envoyé. Mais il s’agit d’un site Web frauduleux déguisé en site Web légitime et exploité par des cybercriminels. C’est sur des sites de ce genre que les victimes entreront les renseignements qui rendront la fraude possible. Ils sont parfois hébergés par des fournisseurs d’hébergement ou des entreprises privées complices mais on les retrouve souvent sur un serveur qui a lui aussi été compromis à l’insu de la personne qui le gère. Il peut s’agir d’un serveur parfaitement légitime, mais qui présente une faiblesse au plan de la sécurité, faiblesse que les cybercriminels ont exploitée pour héberger leur site factice. Dans de tels cas, l’hébergeur devient la deuxième victime, après l’envoyeur. Les cybercriminels utilisent aussi parfois des sites Web dynamiques, c’est-à-dire qu’un même lien mènera vers un serveur qui changera constamment, parfois aussi souvent qu’au 5 minutes.

La banque
Le jour où vous vous rendez compte que des transactions irrégulières figurent à votre compte, vous contactez votre banque, qui ouvrira une enquête. Les banques tiennent à leur réputation et à la confiance de leurs clients. De plus, les transactions en ligne sont infiniment plus rentables pour elles que les transactions au comptoir. C’est pourquoi les banques remboursent intégralement les victimes de courriels hameçons. En essuyant des pertes s’élevant à plusieurs millions de dollars, les banques deviennent la troisième victime des campagnes d’hameçonnage.

La mule
La mule est la complice la moins connue d’une campagne d’hameçonnage. Pourtant, c’est la plus névralgique. En effet, c’est grâce à elle que l’argent va commencer à circuler. Car même s’il est en possession de vos coordonnées d’accès bancaires, l’hameçonneur fait face à une importante difficulté : il lui faut pouvoir transférer les fonds sur lesquels il mettra la main dans un endroit sûr et il doit le faire sans laisser la moindre trace. C’est donc la mule qui va effectuer les transactions financières, comme c’est le cas dans le trafic de drogue. La mule doit disposer d’un compte auprès de l’entité visée (institution financière, entreprise ou organisme) et ce compte doit être géré dans le pays où cette entité exerce ses activités. La Mule recevra des transferts de fonds en provenance des comptes piratés et son rôle sera de transférer ces fonds à l’étranger, moins une petite commission, par l’intermédiaire de services tels que WebMoney, ePasseporte ou E-Gold. De deux choses l’une : soit la mule accepte d’être complice en toute connaissance de cause, soit elle effectue les transferts demandés sans vraiment être consciente qu’elle participe à un détournement de fonds, auquel cas, elle devient alors la quatrième victime. D’une manière ou d’une autre, la mule prend un risque et s’expose au gel de ses comptes ainsi qu’à des peines sévères. Qu’elle soit victime ou complice, la mule finit généralement par se faire prendre. Un autre stratagème consiste à demander à la mule d’associer une nouvelle adresse courriel à son compte PayPal. La mule recevra un paiement Paypal sur sa carte de crédit et on lui demandera de transférer les fonds dans son compte chèques, toujours en se gardant une petite commission, et d’effectuer ensuite un transfert anonyme à l’étranger, par exemple en utilisant les services de Western Union. Pour recruter une mule, on aura recours à des offres d’emplois proposant un travail pouvant être accompli depuis la maison, n’exigeant aucune compétence particulière, assorti d’un salaire attrayant et de responsabilité quasi nulles. On trouve ces offres sur Internet, sur des sites de recherche d’emploi parfaitement légitimes ou dans des petites annonces. Des sites Web complets, attrayants et bien conçus peuvent même leur être entièrement consacrés. Au moment de la rédaction de cet article (novembre 2008), le site www.bobbear.co.uk consacré à la dénonciation de fraudes Internet, recensait 193 offres d’emploi en ligne consacrées au recrutement de mules.

Les opérateurs
Les opérateurs sont les véritables escrocs. Ce sont les intervenants les plus obscurs et les plus fuyants d’une campagne d’hameçonnage. Ce sont eux qui contrôlent la campagne, qui dirigent l’opération et qui engrangent les profits. Ils sont inventifs et extrêmement compétents sur le plan technique, ils disposent de ressources importantes et ils sont en lien avec des complices partout dans le monde. Les opérateurs de campagnes d’hameçonnage fonctionnent en réseau et ces réseaux sont souvent liés au crime organisé. La Roumanie semble héberger plusieurs instigateurs de campagnes d’hameçonnage et de nombreuses arrestations y ont été effectuées, notamment en mars et en octobre 2008. Le Brésil semble aussi être un repaire de prédilection pour les hameçonneurs.


La séquence d’une attaque
Une campagne d’hameçonnage exige beaucoup de préparation et sa durée de vie en ligne est relativement réduite. Voici comment les choses se déroulent habituellement.

La planification
Toute campagne d’hameçonnage fait d’abord l’objet d’une planification minutieuse de la part des exécutants. La cible est choisie, le site Web contrefait est monté, les serveurs sur lesquels il sera hébergé sont identifés, les mules sont recrutées et, surtout, une base de données d’adresses courriel de victimes potentielles est constituée. Ces adresses peuvent avoir été récoltées par des robots qui recueillent automatiquement les adresses publiées sur des sites Web, ou encore par d’autres ordinateurs qui mènent des attaques de dictionnaire en essayant toutes les combinaisons d’adresses possibles et en conservant la mémoire de celles qui sont acceptées. Il arrive parfois aussi, quoique plus rarement, que les campagnes d’hameçonnage visent des victimes spécifiques.

Les experts constatent que les bases d’adresses des fraudeurs sont de mieux en mieux structurées et établies en fonction du profil de l’entité visée par la fraude. Par exemple, les adresses se terminant par .ca sont de plus en plus utilisées pour frauder des entités canadiennes.

La conception du message fait l’objet de la plus grande attention; c’est l’hameçon. Plus il est efficace, plus la campagne rapportera. Ces messages sont souvent de petits bijoux d’ingénierie sociale. Ils provoquent un sentiment d’insécurité qui affole la victime et la pousse à cliquer sur le lien présenté sans prendre le temps de réfléchir. Par exemple, le message peut faire état de transactions non autorisées exigeant vérification, prétexter une vérification de sécurité urgente ou annoncer une fermeture imminente de l’accès Internet au compte.

L’exécution
Lorsque tous les éléments sont prêts, le site factice est mis en ligne, souvent sur plusieurs serveurs simultanément. Dans la mesure du possible, les fraudeurs essaient d’utiliser un nom de domaine qui ressemble à celui d’un domaine détenu par l’entité visée. Et la campagne pourriel est lancée, par l’entremise de réseaux de zombies, habituellement pendant un week-end ou un jour férié, lorsque les équipes de sécurité employées par les entités visées sont réduites ou absentes. Les campagnes d’hameçonnage sont généralement émises depuis plusieurs sources et durent de quelques heures à quelques jours. Dès que la campagne est lancée, son efficacité s’érode rapidement, car les courriels hameçons sont rapportés aux entreprises qui se spécialisent dans le filtrage génotypique et celles-ci émettent des signatures, semblables aux signatures utilisées pour contrer les virus. Celles-ci permettent aux abonnés de rejeter les pourriels envoyés dans le cadre de cette campagne. Certains mécanismes de détection automatiques intégrés aux filtres antispam, tels que ceux de ZEROSPAM, entrent aussi en jeu pour bloquer les envois.

La collecte de données
Tout est en place pour piéger les premières victimes. Le visiteur imprudent dévoile son numéro d’accès, son NIP, son numéro de carte de crédit ou son numéro d’assurance sociale. Les données personnelles ainsi obtenues sont immédiatement versées dans une base de données. Si le site Web est bien fait, après avoir enregistré les informations d’accès, il redirigera la victime vers le véritable site Web de l’entité visée par la fraude.

La fermeture
Commence alors un jeu de chasse au chat et à la souris. Une fois qu’il est en ligne, le site Web factice devient visible. Les victimes qui se rendent compte du subterfuge vont communiquer avec l’entité visée pour dénoncer la fraude. Les directeurs de la sécurité sont avisés et quelques minutes suffisent pour identifier le serveur servant à recueillir les données. De nos jours, toutes les institutions financières font affaires avec des firmes spécialisées telles que Cyota, Mark Monitor et Cyveillance. Ce sont ces firmes qui communiquent avec les hébergeurs légitimes et les fournisseurs de services partout dans le monde pour les aviser que des opérations illégales se déroulent sur leurs réseaux. Elles obtiennent généralement la fermeture des sites Web utilisés par les cybercriminels dans les heures qui suivent leur intervention. C’est pourquoi la durée de vie moyenne d’un site Web d’hameçonnage n’est que de six heures.

La fraude
Les données de la campagne sont consolidées, épurées et validées. L’opérateur effectue les retraits ou vend les données sur le marché noir. Les cybercriminels doivent maintenant faire appel aux mules et inventer un subterfuge financier pour le transfert des fonds. La trace de l’argent se perd ici à travers une longue chaîne d’intermédiaires mais, en gros, les fonds sont virés du compte de la victime vers une organisation ou une personne via un moyen de transfert qui assurera à la fois la liquidité et l’anonymat.

L’exécution d’une campagne d’hameçonnage nécessite donc l’intervention de plusieurs personnes ainsi qu’un niveau d’expertise technique élevé. L’entreprise comporte des risques mais elle permet de recueillir en quelques heures des sommes importantes. S’ils sont sans scrupules, les hameçonneurs sont des gens extrêmement astucieux qui arrivent à éluder la justice dans l’immense majorité des cas. La bonne nouvelle, c’est que les campagnes d’hameçonnage sont tout de même de moins en moins rentables, car les courriels hameçons sont bloqués de plus en plus tôt dans la chaîne de propagation et les sites factices sont rapportés de plus en plus vite.

Les institutions financières ont aussi rehaussé la sécurité de leurs interfaces Web en utilisant divers mécanismes. Par exemple, quand il essaie d’accéder à son compte, le visiteur peut se voir poser une question personnelle dont la réponse ne peut être connue que du détenteur réel du compte ou encore, on peut lui demander d’identifier une image ou une icône qu’il aura présélectionnée. Ces nouveaux dispositifs compliquent la tâche des hameçonneurs car si les clients d’une institution financière sont habitués à valider leur identité à l’aide de ces mécanismes, ils se méfieront d’un site Web qui n’y fait pas appel.

Malgré ces améliorations, il semble peu probable qu’on assiste prochainement à la fin des campagnes d’hameçonnage. Les cybercriminels ne manquent ni d’imagination ni de ressources et ils se renouvellent sans cesse. Ils exploitent les événements de l’actualité pour créer de nouveaux messages et tout nouveau créneau Internet (tel que les jeux de rôle) devient vite une nouvelle source de victimes. La quantité d’intelligence investie dans la mise en place des campagnes d’hameçonnage est tout simplement sidérante. Et les sources de financement ne sont pas près de manquer pour acheter ce talent…


Pour en savoir davantage, visitez les sites Web suivants :
APWG : Antiphishing Working Group
Marshal – Statistiques d’hameçonnage en temps réel
Phishtank – Répertoire des sites contrefaits
   

 

Télécharger le document de fond sur la sécurité du courriel au format PDF (270KB).