[ad_1]

Certaines des escroqueries en ligne les plus réussies et les plus lucratives utilisent une approche « faible et lente » – évitant la détection ou l’interférence des chercheurs et des forces de l’ordre en volant de petites sommes d’argent à de nombreuses personnes sur une période prolongée. Voici l’histoire d’un groupe de cybercriminalité qui compromet jusqu’à 100 000 boîtes de réception de courrier électronique par jour et ne fait apparemment rien d’autre avec cet accès, à l’exception des cartes-cadeaux de siphon et des données du programme de fidélisation de la clientèle qui peuvent être revendues en ligne.

Les données de cette histoire proviennent d’une source fiable du secteur de la sécurité qui a une visibilité sur un réseau de machines piratées que les fraudeurs utilisent à presque tous les coins d’Internet pour anonymiser leur trafic Web malveillant. Au cours des trois dernières années, la source – nous l’appellerons « Bill » pour préserver son anonymat demandé – a observé un groupe d’acteurs malveillants qui teste chaque jour en masse des millions de noms d’utilisateur et de mots de passe contre les principaux fournisseurs de messagerie du monde.

Bill a déclaré qu’il ne savait pas d’où venaient les mots de passe, mais il supposait qu’ils étaient liés à diverses bases de données de sites Web compromis qui sont régulièrement publiés sur des forums de piratage et de piratage de mots de passe. Bill a déclaré que ce groupe criminel fait en moyenne entre cinq et dix millions de tentatives d’authentification par e-mail par jour et repart avec entre 50 000 et 100 000 identifiants de boîte de réception fonctionnels.

Dans environ la moitié des cas, les informations d’identification sont vérifiées via « IMAP», qui est une norme de messagerie utilisée par les clients de logiciels de messagerie tels que Mozilla Oiseau-tonnerre et Microsoft Outlook. Grâce à sa visibilité sur le réseau proxy, Bill peut voir si une tentative d’authentification réussit ou non en fonction de la réponse du réseau du fournisseur de messagerie (par exemple, le serveur de messagerie répond « OK » = accès réussi).

Vous pourriez penser que quiconque se cache derrière une machine criminelle aussi tentaculaire utiliserait son accès pour diffuser du spam ou mener des attaques de phishing ciblées contre les contacts de chaque victime. Mais sur la base des interactions que Bill a eues avec plusieurs grands fournisseurs de messagerie jusqu’à présent, ce gang criminel utilise simplement des scripts personnalisés et automatisés qui se connectent périodiquement et recherchent dans chaque boîte de réception des éléments numériques de valeur qui peuvent facilement être revendus.

Et ils semblent particulièrement concentrés sur le vol de données de cartes-cadeaux.

« Parfois, ils se connectent jusqu’à deux à trois fois par semaine pendant des mois », a déclaré Bill. « Ces gars-là recherchent des fruits à portée de main – essentiellement de l’argent dans votre boîte de réception. Qu’il s’agisse de récompenses hôtelières ou aériennes ou simplement de cartes-cadeaux Amazon, une fois qu’ils se sont connectés avec succès au compte, leurs scripts commencent à voler les boîtes de réception à la recherche de choses qui pourraient avoir de la valeur.

Un échantillon de certaines des requêtes de recherche les plus fréquentes effectuées en une seule journée par le gang des cartes-cadeaux contre plus de 50 000 boîtes de réception piratées.

Selon Bill, les fraudeurs ne téléchargent pas tous les e-mails de leurs victimes : cela représenterait rapidement une quantité monstrueuse de données. Au lieu de cela, ils utilisent des systèmes automatisés pour se connecter à chaque boîte de réception et rechercher une variété de domaines et d’autres termes liés aux entreprises qui gèrent des programmes de fidélité et de points, et/ou émettent des cartes-cadeaux et gèrent leur exécution.

Pourquoi rechercher des récompenses hôtelières ou aériennes ? Parce que ces comptes peuvent tous être nettoyés et déposés sur un numéro de carte-cadeau qui peut être revendu rapidement en ligne pour 80 % de sa valeur.

« Ces gars veulent cet actif numérique dur – l’argent qui se trouve là dans votre boîte de réception », a déclaré Bill. « Vous tirez littéralement de l’argent des boîtes de réception des gens, puis vous avez tous ces marchés secondaires où vous pouvez vendre ce genre de choses. »

Les données de Bill montrent également que ce gang recherche si agressivement les données des cartes-cadeaux qu’il recherchera régulièrement de nouveaux avantages de carte-cadeau au nom des victimes, lorsque cette option sera disponible. Par exemple, de nombreuses entreprises offrent désormais à leurs employés un « avantage pour le bien-être » s’ils peuvent démontrer qu’ils maintiennent une nouvelle habitude saine, comme des visites quotidiennes au gymnase, du yoga ou l’arrêt du tabac.

Bill a déclaré que ces escrocs avaient également trouvé un moyen de profiter de ces avantages.

«Un certain nombre de compagnies d’assurance maladie ont des programmes de bien-être pour encourager les employés à faire plus d’exercice, où si vous vous inscrivez et vous engagez à 30 pompes par jour pendant les prochains mois ou quelque chose, vous obtiendrez cinq points de bien-être pour un cadeau Starbucks de 10 $. carte, qui nécessite 1000 points de bien-être », a expliqué Bill. « Ils automatisent en fait le processus de réponse indiquant que vous avez terminé cette activité afin qu’ils puissent augmenter votre solde de points et obtenir votre carte-cadeau. »

L’empreinte du gang des cartes-cadeaux

Comment les informations d’identification de messagerie compromises se décomposent-elles en termes de FAI et de fournisseurs de messagerie ? Il y a des victimes sur presque tous les principaux réseaux de messagerie, mais Bill a déclaré que plusieurs grands fournisseurs de services Internet (FAI) en Allemagne et en France sont fortement représentés dans les données de compte de messagerie compromises.

« Avec certains de ces fournisseurs de messagerie internationaux, nous voyons environ 25 000 à 50 000 comptes de messagerie par jour se faire pirater », a déclaré Bill. « Je ne sais pas pourquoi ils se font sauter si fortement. »

Cela peut ressembler à beaucoup de boîtes de réception piratées, mais Bill a déclaré que certains des plus grands FAI représentés dans ses données avaient des dizaines ou des centaines de millions de clients.

Mesurer quels FAI et fournisseurs de messagerie ont le plus grand nombre de clients compromis n’est pas si simple dans de nombreux cas, pas plus qu’identifier les entreprises avec des employés dont les comptes de messagerie ont été piratés.

Ce type de mappage est souvent plus difficile qu’auparavant, car de nombreuses organisations ont désormais externalisé leur messagerie électronique vers des services cloud tels que Gmail et Microsoft Office365 – où les utilisateurs peuvent accéder à leurs e-mails, fichiers et enregistrements de chat en un seul endroit.

« C’est un peu compliqué avec Office 365 car c’est une chose de dire combien de connexions Hotmail voyez-vous par jour dans toute cette activité de bourrage d’informations d’identification, et vous pouvez voir les tests par rapport au site de Hotmail », a déclaré Bill. « Mais avec le trafic IMAP que nous examinons, les noms d’utilisateur connectés sont l’un des millions de domaines hébergés sur Office365, dont beaucoup vous en diront très peu sur l’organisation victime elle-même. »

En plus de cela, il est également difficile de savoir combien d’activité vous êtes ne pas voyant.

En examinant le petit ensemble de blocs d’adresses Internet qu’il sait être associés à l’infrastructure de messagerie Microsoft 365, Bill a examiné le trafic IMAP circulant de ce groupe vers ces blocs. Bill a dit que au cours de la première semaine d’avril 2021, il a identifié 15 000 comptes Office365 compromis auxquels accède ce groupe, répartis sur 6 500 organisations différentes qui utilisent Office365.

« Je vois donc ce trafic comme 10 blocs nets liés à Microsoft, ce qui signifie que je ne regarde que peut-être 25% de l’infrastructure de Microsoft », a expliqué Bill. « Et avec notre faible visibilité sur probablement moins d’un pour cent du trafic global de bourrage de mots de passe destiné à Microsoft, nous constatons que 600 comptes Office sont piratés par jour. Donc, si je ne vois qu’un pour cent, cela signifie que nous parlons probablement de dizaines de milliers de comptes Office365 compromis quotidiennement dans le monde.

Dans un article de blog de décembre 2020 sur la façon dont Microsoft s’éloigne des mots de passe pour des approches d’authentification plus robustes, a déclaré le géant du logiciel en moyenne, un compte d’entreprise sur 250 est compromis chaque mois. L’année dernière, Microsoft comptait près de 240 millions d’utilisateurs actifs, selon cette analyse.

« Pour moi, c’est une histoire importante parce que pendant des années, les gens ont dit, oui, nous savons que le courrier électronique n’est pas très sécurisé, mais cette déclaration générique n’a pas de mordant », a déclaré Bill. « Je n’ai pas l’impression que quiconque ait pu attirer l’attention sur les chiffres qui montrent pourquoi le courrier électronique est si peu sécurisé. »

Bill affirme qu’en général, les entreprises disposent de beaucoup plus d’outils pour sécuriser et analyser le trafic de messagerie des employés lorsque cet accès est acheminé via une page Web ou un VPN, par rapport à lorsque cet accès se fait via IMAP.

« Il est simplement plus difficile de passer par l’interface Web, car sur un site Web, vous disposez d’une pléthore de contrôles d’authentification avancés à portée de main, y compris des éléments tels que l’empreinte digitale de l’appareil, la recherche d’anomalies d’en-tête http, etc. », a déclaré Bill. « Mais quelles sont les signatures de détection dont vous disposez pour détecter les connexions malveillantes via IMAP ? »

Microsoft a refusé de commenter spécifiquement les recherches de Bill, mais a déclaré que les clients peuvent bloquer l’écrasante majorité des efforts de prise de contrôle de compte en activant l’authentification multifacteur.

«Pour le contexte, nos recherches indiquent que l’authentification multifacteur empêche plus de 99,9% des compromissions de compte», lit-on dans un communiqué de Microsoft. « De plus, pour les entreprises clientes, des innovations telles que les paramètres de sécurité par défaut, qui désactivent l’authentification de base et obligent les utilisateurs à inscrire un deuxième facteur, ont déjà considérablement réduit la proportion de comptes compromis. De plus, pour les comptes personnels, l’ajout d’un deuxième facteur d’authentification est requis sur tous les comptes.

Un gâchis qui est susceptible de rester ainsi

Bill a déclaré qu’il était frustré d’avoir une telle visibilité sur ce botnet de test d’informations d’identification tout en étant incapable de faire grand-chose à ce sujet. Il a partagé ses données avec certains des plus grands FAI d’Europe, mais dit des mois plus tard, il voit toujours ces mêmes boîtes de réception consultées par le gang des cartes-cadeaux.

Le problème, dit Bill, est que de nombreux grands FAI manquent de connaissances de base ou de données utiles sur les clients qui accèdent à leur messagerie via IMAP. Autrement dit, ils ne disposent d’aucune sorte d’instrumentation pour pouvoir faire la différence entre les connexions légitimes et suspectes pour leurs clients qui lisent leurs messages à l’aide d’un client de messagerie.

« Je suppose que dans de nombreux cas, les serveurs IMAP par défaut n’enregistrent pas chaque demande de recherche, donc [the ISP] Je ne peux pas revenir en arrière et voir cela se produire », a déclaré Bill.

Confondant le défi, il n’y a pas beaucoup d’avantages pour les FAI intéressés à surveiller volontairement leur trafic IMAP pour les comptes piratés.

« Disons que vous êtes un FAI qui a l’instrumentation pour trouver cette activité et vous venez d’identifier 10 000 de vos clients qui sont piratés. Mais vous savez également qu’ils accèdent à leur messagerie exclusivement via un client de messagerie. Que fais-tu? Vous ne pouvez pas signaler leur compte pour une réinitialisation de mot de passe, car il n’y a aucun mécanisme dans le client de messagerie pour affecter un changement de mot de passe.

Ce qui signifie que ces 10 000 clients vont alors commencer à recevoir des messages d’erreur chaque fois qu’ils essaieront d’accéder à leur courrier électronique.

« Ces clients vont probablement être très énervés et appeler le FAI fou comme l’enfer », a déclaré Bill. « Et cette personne du service client va alors devoir passer beaucoup de temps à expliquer comment utiliser le service de messagerie Web. En conséquence, très peu de FAI vont faire quoi que ce soit à ce sujet.

Indicateurs de compromis (IoC)

Ce n’est pas souvent que BreachTrace a l’occasion de publier des soi-disant «indicateurs de compromission» (IoC), mais j’espère que certains FAI pourront trouver ces informations utiles. Ce groupe automatise la recherche dans les boîtes de réception de domaines et de marques spécifiques associés à l’activité des cartes-cadeaux et d’autres comptes à valeur électronique stockée, tels que les points de récompense et les programmes de miles.

Ce fichier inclut les principaux termes de recherche de la boîte de réception utilisés au cours d’une seule période de 24 heures par le groupe de cartes-cadeaux. Les nombres à gauche dans la feuille de calcul représentent le nombre de fois au cours de cette période de 24 heures où le gang de cartes-cadeaux a effectué une recherche pour ce terme dans une boîte de réception compromise.

Certains des termes de recherche se concentrent sur des marques spécifiques, telles que Amazone cartes-cadeaux ou Honneurs Hilton points; d’autres sont destinés aux principaux réseaux de cartes-cadeaux comme Cash Starqui émet des cartes en marque blanche par des dizaines de marques telles que Cibler et Nordström. Les boîtes de réception piratées par ce gang seront probablement recherchées sur bon nombre de ces termes en l’espace de quelques jours seulement.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.