C’était au début d’octobre 2011, et j’étais sur le tapis roulant en train de vérifier les e-mails de mon téléphone lorsque j’ai remarqué que plusieurs centaines de nouveaux messages étaient arrivés depuis la dernière fois que j’avais consulté mon Gmail boîte de réception à peine 20 minutes plus tôt. Je ne le savais pas à l’époque, mais mon compte était utilisé pour tester en bêta un service privé désormais offert ouvertement dans la clandestinité criminelle qui peut être engagé pour créer des flots très perturbateurs de courriers indésirables, de SMS et d’appels téléphoniques.
De nombreuses entreprises demandent une sorte de confirmation à leur banque chaque fois que des virements de grande valeur sont initiés. Ces confirmations peuvent être envoyées par SMS ou par e-mail, ou l’entreprise peut demander à sa banque de l’appeler pour vérifier les virements demandés. L’attaque qui a frappé ma boîte de réception faisait partie d’une offre que les escrocs peuvent louer pour inonder chaque moyen de communication, empêchant ainsi une entreprise ciblée de recevoir ou de trouver des alertes de sa banque.
Peu de temps après le début du barrage d’e-mails, j’ai envoyé une note à Google‘s relations publiques, demandant des conseils et de l’aide. Heureusement, ma ligne téléphonique n’a pas fait l’objet de l’attaque et j’ai pu communiquer ce que je voyais à l’équipe de Google. Ils ont travaillé pour lutter contre l’attaque pendant la plus grande partie de la journée, au cours de laquelle ma boîte de réception a reçu des dizaines de milliers d’e-mails, enterrant des centaines d’e-mails légitimes page après page de messages indésirables (dans la capture d’écran ci-dessus, la note au porte-parole de Google Jay Nancarrow est en haut de la pile de messages indésirables).
Ce qui était le plus surprenant à propos de ces messages, c’est que beaucoup d’entre eux contenaient des lignes d’objet assez spammées qui auraient dû être facilement interceptées par les filtres de courrier indésirable de Google. Chaque message indésirable ne contenait que des pages pleines de lettres et de chiffres brouillés ; le texte de chaque missive ressemblait à un message crypté.
Les ingénieurs de Google ont réussi à bloquer la majorité des messages indésirables après environ six heures, mais la société a refusé de parler de ce qui a fait réussir l’attaque. Il a fallu beaucoup plus d’heures pour passer au crible les messages indésirables pour trouver ceux que je voulais.
« Il ne s’agit pas d’un trou dans Gmail ou d’un exploit – c’est plutôt une question de dynamique de spam et de ce qui peut être plus facilement traversable dans certaines circonstances », a déclaré Nancarrow. « Par conséquent, nous ne pouvons pas fournir de détails qui pourraient aider les spammeurs à essayer de nouvelles campagnes. »
Environ une semaine après l’attaque, je me cachais sur un forum relativement nouveau sur la cybercriminalité lorsque je suis tombé sur un service automatisé d’inondation d’e-mails proposé par l’un des fondateurs du forum. L’annonce pour ce service comprenait des captures d’écran d’une boîte de réception Gmail inondée qui ressemblait exactement à l’attaque qui a frappé mon adresse Gmail.
L’annonce disait, en partie :
Utilisé principalement en privé pour moi-même et maintenant offert au public respecté.
Spam utilisant des bots, ayant des comptes SMTP décents.
Faire des inondations d’e-mails à l’aide de bots. Randomisation complète de la lettre, afin que l’utilisateur ne puisse pas bloquer le flot par les signatures.
Flooder est capable des fonctionnalités suivantes :
Une énorme vague d’e-mails est instantanément envoyée à la victime. (en fonction de la charge du serveur et de la quantité d’e-mails à inonder)
Taux de livraison de 60 à 65 % — selon les serveurs SMTP.
La limite d’inondation d’un seul compte de messagerie sur ce serveur est de 100 000 e-mails.
Plan – Enfants – 25 000 e-mails — 25 $
Plan – Moyen – 50 000 e-mails – 40 $
Plan – Difficile – 75 000 e-mails – 55 $
Plan – Monstre – 100 000 e-mails – 70 $
Le même vendeur a récemment ajouté de nouvelles offres depuis le lancement de ce service de bombardement d’e-mails, y compris un système d’inondation de SMS et d’appels. Les publicités pour ces services se lisent :
NOUVEAU!!! Appelez le service Flood et envoi de SMS en masse!
Inonder le téléphone – un excellent moyen de bloquer le travail de toute entreprise associée à un numéro de téléphone dans lequel l’attaque d’inondation. La victime, pendant toute la période d’inondation, reçoit un nombre incalculable d’appels entrants. Lorsque la victime répond au téléphone, le système se réinitialise et rappelle immédiatement. Cela se produit à chaque fois que l’attaque d’inondation est activée. Cette action bloque complètement le téléphone, afin que personne ne puisse joindre le téléphone de la victime.
Inondation d’un ou plusieurs numéros de téléphone (tout opérateur, tout pays) :
1 heure = 1,5 $ (par numéro)
1 jour = 20 $ (par numéro)Envoi massif de SMS :
100 SMS – 5 $
1000 SMS – 15 $
Il est alarmant de constater à quel point il est facile et bon marché de louer des services automatisés capables de mettre une petite organisation en faillite pendant plusieurs jours. Une attaque par déni de service distribué (DDoS) sur le site Web d’une entreprise n’augmenterait le coût total de l’attaque que d’environ 50 $ par jour, et il existe actuellement une surabondance de services DDoS à louer.
Si vous dirigez une petite entreprise et que vous vous retrouvez un jour victime d’un de ces flots d’e-mails, de SMS et/ou de téléphones, je vous conseille de trouver un téléphone mobile qui n’est pas bloqué et d’alerter votre institution financière être particulièrement vigilant pour les transactions suspectes.