Du phishing en guise d’anti phishing

PHISHING -ARNAQUE-00039-altospam

Spammer les sites de phishing

L’usurpation d’identité par le phishing est devenu une activité extrêmement lucrative pour beaucoup d’organisations criminelles. Parmi les techniques anti phishing que l’on peut utiliser, une stratégie originale consiste à retourner les méthodes du phishing contre ses auteurs.

2.8 Milliards de dollars. C’est le montant auquel se sont élevées les pertes (ou les gains, suivant le côté où l’on se trouve) résultant du phishing en 2006 selon Gartner Group. De plus, contrairement à l’usurpation d’identité dans le monde réel, le phishing est à la fois moins coûteux et porte sur un nombre de victimes potentielles innombrable. Il suffit souvent de créer un simple site Web clonant entièrement l’original et y attirer l’internaute crédule pour lui soutirer ses identifiants, mots de passe, numéro de carte de crédit, … Après, c’est l’imagination du phisher qui limite ce qu’il peut en faire.

Les techniques anti phishing standard sont l’éducation et la sensibilisation de l’utilisateur et la désactivation du site Web frauduleux. Le problème est que les serveurs hébergeant ces sites se trouvent pour la plupart dans des pays lointains et le plus souvent ne disposant pas d’accords judiciaires avec les pays des victimes. Le temps de trouver l’hébergeur, de demander la suspension du site, les pirates ont largement le temps de récupérer un grand nombre d’identités et de disparaître ; et porter plainte dans le pays d’implantation du site frauduleux est extrêmement difficile puisqu’on ne dispose pas d’informations fiables sur les phishers. Cette forme d’anti phishing n’est pas très efficace, puisqu’à peine un site disparaît-il qu’un autre est mis en place, qui peut être payé grâce aux produits du site précédent d’ailleurs. L’anti phishing recourt également à l’inscription des mails frauduleux dans une liste noire ou à la mise en place de systèmes d’authentification plus sophistiqués, sans que cela n’ait de résultats vraiment spectaculaires. C’est donc dans ce contexte qu’apparaît une orientation pour le moins originale : retourner l’arme du phishing contre ses auteurs.

Cette orientation, qui émane d’un groupe de chercheurs de l’Université de Bochum, en Allemagne, consiste à faciliter la traçabilité des agents impliqués dans le phishing, et à accroître le coût et le risque du phishing. La première idée de cette stratégie anti phishing consiste à donner un grand nombre de fausses données aux sites de phishing. Le premier résultat est d’abord de remplir les bases de données des phishers avec de fausses informations, ce qui implique qu’ils doivent dépenser plus de temps (et de ressources) à séparer les bonnes informations des fausses.

La seconde idée est d’ajouter une empreinte unique à ces fausses informations, de la même manière que les numéros des billets servent à tracer l’argent des hold-ups. Lorsque le phisher (ou en pratique celui à qui il livre/vend les données) se sert de ces fausses identités pour accéder au vrai service (ex : un compte bancaire), il sera immédiatement identifié comme étant un phisher et redirigé vers un honeypot, un système virtuel qui clone le vrai site de la banque. Le phisher croit ainsi qu’il est sur le vrai site et est en train d’effectuer des vrais virements, alors que le honeypot en profite pour récolter des informations sur le réseau qu’il emploie, et récupère d’autres renseignements. Non seulement cela permet d’identifier un phisher (pour autant qu’on puisse identifier quelqu’un sur un réseau comme l’Internet), mais selon son utilisation des identités en sa possession, on peut également déterminer sa fonction exacte dans la chaîne : est-il un intermédiaire qui effectue des achats en ligne au nom de ses victimes, ou un blanchisseur d’argent qui procède à un virement vers des comptes offshores dans un paradis fiscal, ou un bénéficiaire qui retire l’argent dans les distributeurs grâce à une fausse carte, ou reçoit les marchandises achetées en ligne grâce aux identités volées.

Grâce à cette technique anti phishing, on obtient un schéma d’identification précis du système des malfaiteurs et on peut suivre en temps réel leurs opérations.

Et si vous testiez les solutions d’Altospam?

Des milliers de DSI, RSSI et Responsables Informatiques nous font déjà confiance pour la protection de leur e-mails contre le phishing, spear phishing, ransomware, …