L'argent derrière les malwares Le fonctionnement du cybercrime et comment le combattre Par Chester Wisniewski, Analyste Senior en sécurité Il est important de comprendre ce qui motive l'abondance de code malveillant qui bombarde nos pare-feux, serveurs et utilisateurs. Aux SophosLabs, nous voyons plus de 200 000 fichiers malveillants par jour. Ceux-ci ne sont pas créés par des gouvernements ou des espions cherchant à provoquer une guerre cybernétique. Au contraire, les cybercriminels d'aujourd'hui sont motivés par une chose et une seule : l'argent. Pour nous permettre de construire des défenses plus efficaces et d'exploiter les faiblesses des réseaux de cybercriminels, nous devons travailler ensemble pour mieux comprendre le cybercrime.
Fonctionnement du cybercrime La plupart des malwares ont pour but de générer des revenus, et les cybercriminels ne manquent pas de techniques pour y parvenir. Heureusement, la réussite de leurs opérations repose sur un certain nombre d'étapes, et chacune d'entre elles présente une opportunité pour nous de les contrer. La première étape pour le cybercriminel est de trouver des victimes. Voici les six méthodes principales de recrutement de victimes utilisées par les cybercriminels pour compromettre leurs ordinateurs à des fins criminelles. 1. Le spam : La monétisation des malwares a commencé avant tout par le spam de messagerie. D'ailleurs, le colportage de drogues en tous genres, de contrefaçons et de femmes russes constitue toujours une source de revenus importante pour bien des criminels. Bien que le volume de spams ait commencé à réduire, les spammeurs diffusent toujours des milliards de messages par jour dans l'espoir qu'une infime proportion d'entre eux passent à travers les filtres de anti-spam et réussissent à convaincre quelques personnes de dépenser leur argent. Bien que les malwares sont toujours disséminés par pièces jointes, la plupart d'entre eux se trouvent aujourd'hui sur le Web. 2. Le phishing : Les cybercriminels n'utilisent pas uniquement la messagerie pour promouvoir des produits et services. C'est également la méthode la plus prisée pour diffuser des attaques de phishing. Ces attaques peuvent prendre la forme d'un courriel cherchant à dérober vos détails bancaires en se faisant passer pour votre banque ou fournisseur de messagerie, ou d'attaques plus soutenues visant à accéder aux services internes de l'entreprise. 3. Les médias sociaux : De nombreux spammeurs privilégient désormais les médias sociaux plutôt que la messagerie. Les utilisateurs sont plus susceptibles de cliquer sur des liens commerciaux s'ils paraissent provenir d'un contact sur Facebook ou Twitter. Les nouvelles de dernière minute et les sujets populaires diffusés sur ces sites peuvent inciter les victimes à cliquer sur des liens douteux. 4. Les techniques de Blackhat SEO : Les escrocs continuent à jouer au chat et à la souris avec Google et Bing pour manipuler les résultats de recherche, une technique connue sous le nom de Blackhat SEO ou infection SEO. En faussant les résultats de recherche, ces techniques font apparaître des liens malveillants en première page, dirigeant l'utilisateur vers des exploits, malwares et sites de phishing. Pour de plus amples informations sur l'infection SEO, lisez le rapport technique des SophosLabs. 5. Les téléchargements passifs : La plupart des victimes se laissent piéger en visitant des sites Web contenant des exploits connus sous le nom de téléchargements passifs. Les SophosLabs rencontrent chaque jour 30 000 nouvelles URL qui exposent d'innocents internautes à du code malveillant, dont le seul but est d'exploiter les vulnérabilités de leurs systèmes d'exploitation, navigateurs, plug-ins et applications. 6. Les malwares : Les vers, virus et autres programmes malveillants sont toujours aussi efficaces, bien que moins communs aujourd'hui qu'il y a 10 ans. Certains criminels opportunistes exploitent toujours les malwares pour infecter les systèmes vulnérables et recruter des outils informatiques à leur avantage. Livre blanc Sophos juin 2012 2
L'argent derrière les malwares Après avoir piégé une victime ou pris le contrôle d'un ordinateur, le criminel dispose d'une multitude de manières de générer du revenu. Voici huit tactiques utilisées par les cybercriminels pour soutirer de l'argent à leurs victimes. La vente de produits La façon la plus simple de gagner de l'argent avec les malwares, les spams ou l'infection de site Web est de vendre un produit. Les criminels ouvrent une boutique en ligne et dirigent le trafic vers une vitrine virtuelle au moyen de sites infectés et de spam. Loin d'être des façades, de nombreuses opérations de ce style expédient réellement des contrefaçons de Viagra, montres Rollex, sacs Gucci et logiciels piratés à leurs victimes. Le détournement d'identifiants de connexion Le but d'un message de phishing est de convaincre le destinataire qu'il provient d'une personne connue ou fiable. Les criminels utilisent des techniques d'ingénierie sociale empruntées aux marques légitimes pour recueillir des noms d'utilisateur et mots de passe de sites de haute valeur tels que PayPal, banques, Facebook, Twitter, Yahoo! et autres services de messagerie sur le Web. Il est facile pour les cybercriminels de les imiter puisque tout ce qui est en ligne est numérique. Il leur suffit de dérober des communications légitimes des entreprises imitées et de rediriger les liens vers des pages Web factices. Les messages de phishing gagnent du terrain puisqu'ils profitent de l'ignorance relative du public vis-àvis de ce genre d'attaque et des fuites de données. La fraude au clic Après avoir compromis l'ordinateur de la victime, le cybercriminel peut télécharger des malwares qui manipulent le trafic Internet. Il redirige les clics de l'utilisateur vers des annonces situées sur des pages malveillantes. Les criminels gagnent des commissions en générant du trafic vers les annonces de leurs clients. Les faux logiciels de sécurité Souvent appelés "faux antivirus", ces programmes sont conçus pour exhiber un comportement radicalement opposé à celui des malwares traditionnels : bruyant, ennuyant et hautement visible. L'arnaque consiste à convaincre l'utilisateur que son ordinateur est infecté suite à la visite de la page compromise qui installe secrètement le faux antivirus sur l'ordinateur. Le logiciel frauduleux censé nettoyer l'ordinateur infecté est vendu environ US$100. Mais le faux antivirus ne nettoie pas les menaces, il est la menace. D'autre part, les criminels peuvent gagner encore plus d'argent en proposant des services complémentaires et des offres pluriannuelles. Les fausses suites de sécurité ciblent les utilisateurs Windows, Mac et même Android. Livre blanc Sophos juin 2012 3
Le ransomware Le ransomware peut être utilisé pour chiffrer vos documents, secteur de démarrage ou autre composant important de votre PC, et le tenir en otage jusqu'à ce qu'une rançon soit payée au cybercriminel. Il est souvent composé d'algorithmes cryptographiques modernes, et seul son auteur possède les clés de déchiffrement. Pour récupérer son bien, il faut payer. Jusqu'à récemment, le ransomware était à prédominance russe, mais nous avons constaté dernièrement des gangs ciblant l'amérique du Nord, l'europe et l'australie. Une nouvelle variation touchant les utilisateurs en 2012 est un faux avertissement des autorités prévenant l'utilisateur que la police a détecté du matériel de pornographie juvénile sur son ordinateur. Le message informe la victime que son ordinateur a été verrouillé et qu'il doit payer une amende de $100 pour le débloquer. Un ransomware bloque l'ordinateur ou le fichier jusqu'à ce que la victime paie une rançon au cybercriminel. Le spam sur les réseaux sociaux Il est de plus en plus dur de faire aboutir un courriel. Les filtres anti-spam bloquent plus de 99% des messages avant même qu'ils n'aient été reçus par leur destinataire. Par ailleurs, les utilisateurs savent reconnaître les noms douteux des expéditeurs des messages qui passent au travers des mailles du filet. Les sites de médias sociaux tels que Facebook et Twitter attirent de plus en plus de spammeurs. Ils peuvent acheter des identifiants de connexion volés ou convaincre les utilisateurs de diffuser leurs escroqueries à leur place. Ils profitent de votre capital social : plus vous avez d'amis ou de followers, plus ils peuvent spammer de personnes depuis votre compte. Les utilisateurs sont bien plus susceptibles de cliquer sur un message pour gagner un ipad ou perdre 15kg avec un régime miracle si celui-ci provient d'un contact. Livre blanc Sophos juin 2012 4
Les malwares bancaires Une industrie hautement spécialisée s'est formée autour de la collecte d'identifiants de connexion dans le but d'infiltrer des institutions financières en-ligne. Tandis qu'initialement la technique consistait à installer un enregistreur de touches qui relevait les nom d'utilisateur et mot de passe de la victime, aujourd'hui, les cybercriminels jouent au chat et à la souris avec les banques. Les chevaux de Troie bancaires modernes sont disponibles pour BlackBerry, Windows, Android et autres platesformes. Ceux-ci peuvent détourner des SMS et enregistrer des vidéos de votre écran lorsqu vous vous identifiez. Les enregistrements sont ensuite diffusés aux cybercriminels sous un format similaire à celui de YouTube. L'un des gangs démantelés par le FBI en 2010 avait tenté de dérober presque $220 millions à ses victimes. 1 La fraude aux SMS surtaxés Plutôt que de vous demander les détails de votre carte de crédit ou d'essayer de retirer de l'argent directement sur votre compte bancaire, de nombreux spammeurs de médias sociaux et auteurs de malwares pour téléphones portables utilisent des services de SMS. Lorsque vous répondez à un questionnaire sur Facebook qui vous demande votre numéro de téléphone sous un prétexte quelconque, celui-ci peut être utilisé pour composer des SMS surtaxés. Il est aussi possible qu'une application pour Android piratée contienne un programme qui commence à envoyer des SMS de votre part à des numéros surtaxés. Le réseau cybercriminel Une opération criminelle bien menée passe par la réussite d'un certain nombre d'étapes : une certaine spécialisation des pirates est donc nécessaire. Ceux-ci doivent avoir la compétence, l'expertise et les connaissances pour constamment passer à travers nos défenses et éviter d'être détectés par les forces de l'ordre. Dans cette section, nous expliquerons les rôles qui constituent un réseau criminel efficace. Auteurs d'exploits Les auteurs d'exploits sont des pirates qui se spécialisent dans la découverte de vulnérabilités logicielles et la création de kits d'exploits composés d'un ensemble d'exploits. Ceux-ci sont ensuite vendus à des criminels qui ne possèdent pas les mêmes compétences, et servent à infiltrer des ordinateurs non corrigés au moyen de sites Web compromis ou de pièces jointes infectées. Traducteurs La qualité linguistique des messages de spam, des leurres et des attaques d'ingénierie sociale s'est considérablement améliorée récemment. Il semblerait que les pirates à l'origine de ces attaques aient investi dans des services de traduction professionnels de manière à faire plus de victimes. 1 "Zbot suspects arrested in Ukraine," Naked Security blog, http://nakedsecurity.sophos.com/2010/10/01/zbot-suspects-arrested-ukraine Livre blanc Sophos juin 2012 5
Créateurs de bots Le travail d'un créateur de bots est d'infecter tous les ordinateurs zombies qui constituent un botnet. Ceux-ci sont utilisés dans les campagnes de spam, les attaques par déni de service distribué, les proxies et autres escroqueries reposant sur la technologie du Cloud. Les créateurs de bots isolent puis vendent ou louent les services d'ordinateurs zombies en fonction de leur emplacement géographique ou du type de bot requis par l'acheteur. Les «mules» et leurs «recruteurs» Les criminels ont besoin de personnes sur le terrain qui puissent transférer des fonds ou déposer des chèques. Les chefs de passeurs se spécialisent dans le recrutement de personnes en difficulté ou disposées à être complices d'une fraude financière. Bien des passeurs sont impliqués à leur insu, en prenant des emplois à domicile ou en se laissant piéger autrement. Partnerkas Le terme Partnerka correspond grossièrement à un réseau de partenaires. En pratique, ce sont des réseaux de communication qui diffusent des annonces portant sur des offres pharmaceutiques douteuses, des contrefaçons de produits de luxe ou d'autres biens et services frauduleux par le biais de petits criminels, qui reçoivent une commission pour chaque vente. Les propriétaires de Partnerkas promeuvent leurs campagnes au travers de messages de spam, de forums, de commentaires publiés sur les blogs et les médias sociaux, d'infection de sites Web et de Blackhat SEO. Fournisseurs d'outils Bien que l'écriture de logiciels ne soit pas une activité criminelle en soi, il existe des personnes qui se spécialisent dans l'écriture d'outils destinés à répandre le spam et les malwares. Les cybercriminels peuvent acheter des exploits, kits d'outils, CAPTCHAs, et bien d'autres outils de spam pour des sommes allant de $20 à plusieurs milliers de dollars. Auteurs de malwares Comme le dit Steve Ballmer, le PDG de Microsoft, a dit que les développeurs sont les piliers du cybercrime. Il apparaîtrait toutefois que, plutôt que de distribuer directement leurs programmes malveillants, la plupart des développeurs de malwares préfèrent vendre leurs services aux organisateurs d'opérations cybercriminelles. Livre blanc Sophos juin 2012 6
Comment nous pouvons gagner Tant qu'il y aura de l'argent à gagner, les cybercriminels continueront à rechercher toutes les opportunités popssibles pour nous escroquer. Bien qu'elle puisse sembler insurmontable, nous pouvons gagner la bataille contre les cybercriminels. En effet, ceux-ci ont beaucoup à gagner en infectant les utilisateurs, mais leurs opérations exigent la réussite d'un certain nombre d'étapes successives pour pouvoir porter leurs fruits. Il suffit de briser un seul maillon de la chaîne pour les arrêter. Plus de 90% des attaques peuvent être éliminées en déployant les correctifs plus rapidement, en supprimant les applications superflues et en n'appliquant pas de privilèges utilisateur. Les attaques réussissent le plus souvent lorsque l'utilisateur fait preuve d'inattention. Il est possible d'empêcher les utilisateurs d'ouvrir des pièces jointes malveillantes ou de cliquer sur des liens par curiosité en les sensibilisant vis-à-vis des menaces et en leur fournissant des exemples. Il est important de comprendre que bien que les outils de sécurité renforcent la sécurité du réseau, ce sont les utilisateurs qui constituent la défense la plus importante contre la fuite des données sensibles de l'entreprise. Nous devons apprendre à reconnaître nos faiblesses et travailler ensemble pour partager les connaissances qui nous permettront de nous protéger. La diminution du nombre d'applications, l'éducation des utilisateurs et la réduction des droits administratifs contribueront à réduire les opportunités de piratage à tel point que les escrocs finiront par chercher leurs victimes ailleurs. Assistez à un événement "Anatomy of Attack" Inscrivez-vous sur sophos.fr Service commercial France : Tel: 01 34 34 80 00 Email: sales@sophos.fr Boston, États-Unis Oxford, Royaume-Uni Copyright 2012. Sophos Ltd. Tous droits réservés. Toutes les marques déposées sont la propriété de leurs propriétaires respectifs. Un livre blanc Sophos 06.12v1.dNA