L’hameçonnage n’est peut-être pas la forme la plus sophistiquée de cybercriminalité, mais il peut être un commerce lucratif pour ceux qui décident d’en faire leur travail quotidien. En effet, les données secrètement recueillies lors d’une opération de phishing internationale sur 18 mois suggèrent que les criminels qui poursuivent une carrière dans le phishing peuvent récolter des millions de dollars par an, même s’ils ne parviennent à attraper que quelques victimes par escroquerie.
Les hameçonneurs configurent souvent leurs sites frauduleux à l’aide de « kits de phishing » prêts à l’emploi – des collections de HTML, de texte et d’images qui imitent le contenu trouvé dans les grandes banques et les sites de commerce électronique. En règle générale, les hameçonneurs intègrent les kits dans le tissu de sites légitimes piratés, qu’ils équipent ensuite d’une « porte dérobée » qui leur permet de revenir sur le site à tout moment.
Il y a environ un an et demi, des enquêteurs de Charleston, en Caroline du Sud, PhishLabs a constaté qu’une porte dérobée particulière qui apparaissait à maintes reprises dans les attaques de phishing faisait référence à une image d’un nom de domaine qui était sur le point d’expirer. Lorsque ce domaine a finalement été récupéré, PhishLabs l’a enregistré, espérant pouvoir l’utiliser pour garder un œil sur les nouveaux sites de phishing mis en place avec le même kit.
L’astuce a fonctionné : PhishLabs a collecté des données sur les visites du site pendant environ 15 mois et a suivi quelque 1 767 sites Web qui ont été piratés et semés avec le kit de phishing qui tentait d’extraire le contenu du domaine que PhishLabs avait récupéré.
PhishLabs a déterminé que la plupart des sites de phishing étaient probablement créés par une seule personne – un homme à Lagos, au Nigeria, qui, selon PhishLabs, était responsable d’environ 1 100 des sites de phishing suivis par la société au cours de l’expérience de 15 mois.
« Ce type créait deux à trois nouveaux sites de phishing chaque jour », a déclaré le fondateur et président de Phishlabs. Jean LaCour mentionné. « Si vous acceptez des estimations prudentes, que ce type vole environ 10 [sets of] informations d’identification bancaires par hameçonnage, et que chacune de ces informations d’identification volées entraîne des pertes de 500 $, nous parlons de plus de 4 millions de dollars par an qu’il gagne probablement. »
Lorsque PhishLabs a tracé l’activité en ligne quotidienne du gars, le graphique résultant s’est affiché comme une courbe en cloche montrant le type de charge de travail horaire que vous verriez généralement dans un travail régulier de 9 à 5, a déclaré LaCour. « Au milieu de la journée, il est super occupé, et le matin et le soir, il ne l’est pas. C’est donc vraiment son travail quotidien.
Aussi réussi soit-il, le phisher nigérian espionné par PhishLabs est un menu fretin comparé à certains des gangs de phishing les plus organisés en activité aujourd’hui. Selon un rapport (pdf) publié la semaine dernière par le Groupe de travail anti-hameçonnage, un consortium industriel, environ les deux tiers de toutes les attaques de phishing au cours du second semestre de l’année dernière étaient le fait d’un gang du crime organisé connu sous le nom d’opération de phishing « Avalanche ». Soit dit en passant, les experts pensent qu’il s’agit du même gang responsable du spam des copies de Zeus et d’autres programmes de chevaux de Troie qui ont été utilisés dans les attaques contre les petites entreprises dont je fais la chronique depuis un an.