Le shopping sur les places de marché underground

0

Les logiciels malveillants et les services de hacking sont en passe de devenir des commodités. De son côté, le ransomware as a service, en rendant les attaques par ransomware plus simple et conviviale à exécuter, est devenu très populaire cette année. L’efficacité croissante des solutions de sécurité a incité les cybercriminels à repenser leurs outils et techniques pour cibler plus efficacement leurs victimes et déjouer les défenses en place. Enfin, ce sont les concepteurs de logiciels malveillants qui sont en recherche permanente de nouveaux marchés sur lesquels se positionner et proposer leurs services.

Si le DarkNet héberge de nombreuses places de marché étroitement liées à la cybercriminalité, on constate néanmoins que ces criminels sont nombreux à se contenter de sites grand public de vente ou d’annonces comme eBay ou Craiglist, pour acheter et vendre des informations, outils et techniques. Ainsi, les places de marché n’ont pas comme impératif d’être dissimulées au sein du DarkNet pour être au service de la communauté des cybercriminels.

Une place de marché souterraine, relativement nouvelle, a commencé à attirer des vendeurs aux ÉtatsUnis, et une visite sur ce site est riche d’enseignements. Cette plateforme évolue rapidement et les produits proposés à la vente ont un cycle de vie plutôt rapide en rayon. Ainsi, lors d’une journée en particulier, le site proposait un nombre suffisamment élevé de cartes de crédits volées ou fausses pour pouvoir les trier selon des critères comme le code postal. Comme l’illustre la copie d’écran de la page d’accueil du site ci-dessous, les comptes utilisateurs/clients piratés étaient néanmoins plus nombreux que les données de cartes de paiement volées.

bm11

Selon la liste ci-dessous, de multiples comptes provenant de différents fournisseurs de services étaient proposés à la vente. Une analyse rapide de ces comptes nous a montré que certains d’entre eux n’étaient que de simples comptes de démo ou gratuits pendant 30 jours. La prudence est donc encore plus de mise chez les acheteurs sur ces places de marché, comparé aux sites légitimes. A noter cependant que certains comptes proposés que ce site semblaient parfaitement réels.

bm12

Comme pour toute place de marché en ligne, le feedback et les notes de réputation de la part des acheteurs et des vendeurs constituent une aide précieuse à la décision lorsqu’il s’agit d’acheter ou de vendre. Si ce site reste plutôt mineur par rapport à d’autres places de marché explorées, nous pouvons néanmoins identifier des vendeurs actifs sur le site :

bm13

Généralement, la présence en nombre de comptes utilisateurs proposés à la vente signifie souvent que le site d’origine a été piraté suite à une attaque, résultant dans le détournement de la base de données des utilisateurs et de leurs identifiants de connexion.

On constate, après étude de ces éléments, que nombre d’utilisateurs disposent du même nom d’utilisateurs et mot de passe, qui s’affichent à différentes reprises et donc pour de multiples sites Web. On peut en conclure, qu’après piratage des identifiants et données des utilisateurs, les assaillants sont capables d’en extrapoler de multiples noms d’utilisateurs et mots de passe, pour de multiples sites et à partir d’une seule base de données.

À titre d’exemple, nombre de sites web proposent des comptes gratuits pendant 30 jours, et les assaillants en profitent pour créer des comptes d’évaluation gratuits en utilisant les noms d’utilisateurs et mots de passe détournés, pour ensuite les revendre sur des places de marchés. Un cybercriminel expert pourrait ainsi utiliser ces données pour utiliser anonymement un service gratuit, mais aussi tenter de les réutiliser sur des sites web fréquentés (banque, Amazon, etc.) puisque nombre d’utilisateurs utilisent les mêmes identifiants pour de multiples comptes.

À l’évidence, l’activité des places de marchés souterraines devrait se développer, alors que les fêtes de fin d’année approchent à grand pas. Les noms d’utilisateurs, mots de passe et données de cartes bancaires volées peuvent être utilisés sur différents sites pour s’acheter des biens et des services. Dans de nombreux cas, compte tenu de la fièvre acheteuse attendue en cette fin d’année, les achats frauduleux ne seront pas toujours rapidement identifiés par les victimes.

Parallèlement, les assaillants sont toujours à la recherche de nouveaux services et données pouvant être vendus sur ces places de marché, tandis que les acheteurs potentiels sont, de leur côté, à la recherche de nouveaux outils et données sur lesquels capitaliser pour cibler leurs victimes à venir.

About Author

Christophe Auberger

Directeur Technique chez Fortinet depuis 2005, est en charge des aspects techniques avant ventes pour la France et l'Afrique du Nord. Titulaire d’un master en Informatique et Telecom et après quelques années au service des contre-mesures au sein de la marine nationale (DPSD), il oriente sa carrière vers l’IT et prend la responsabilité du support chez Altis Informatique dans les années 90. Il gère ensuite l'avant-vente et le consulting de l'entité de gouvernance des systèmes d'information chez ARCHE Communications. En 2000, il est co-fondateur et directeur technique du premier ASP français dans le domaine de la sécurité : monDSI.com qui prendra des parts de marché significatives dans le domaine avant d'être intégré au groupe RISC.

Leave A Reply