septembre 20, 2012

A la chasse au Phishing

Je ne sais pas vraiment pourquoi, mais d’une certaine façon, depuis la création du World Wide Web, il existe une approche stéréotypée d’Internet et de tout ce qui le concerne. Cette attitude considère le réseau comme à peine plus qu’un jouet, alors que les virus qui en font partie sont eux considérés comme un simple jeu, dans le meilleur des cas, ou juste du vandalisme, dans le pire des cas. Néanmoins, la réalité nous montre autre chose – notamment ces derniers temps.

Vous rappelez-vous Cascade et d’autres virus similaires ? Ah ! Tellement naïf et innocent si on le compare avec ce qui allait arriver… Les choses sont allées très vite en l’espace de quelques décennies, et les « mauvais garçons » ont commencé à voler des données, à implanter des Trojans sur des ordinateurs pour des réseaux zombies afin de procéder à des attaques divisées et, évidement, à commettre des vols sur des comptes bancaires. Aujourd’hui nous en sommes arrivés aux attaques contres les systèmes industriels, infrastructurels et militaires. Sacré jouet !

Nous devons laisser de côté ce stéréotype au plus vite. Les fausses impressions donnent au cybercrime une aura romantique, qui à la fois attire la jeune génération d’aspirants cybergeeks qui se convertiront en cybercriminels, lesquels ne peuvent pas se rendre compte de la gravité de leur « diversion » ou prendre conscience du nombre d’années qu’ils pourraient passer en prison.

Il y a alors un autre stéréotype : payé par le crime informatique, et dont les responsables ne sont pas arrêtés. Le romanticisme ! Oui, il est vrai que quelques années en-arrière, dans plusieurs pays, les crimes informatiques n’étaient pas normalement traités par la justice, cependant, la situation a désormais changé : les organismes en charge de faire respecter la loi ont l’expérience et les connaissances techniques nécessaires, et ont fait de grands progrès en terme cybercriminels (cyber-CSI), et ont noué de bonnes relations de travail avec les professionnels, les rendant désormais capables de résoudre les crimes de haute technologie les uns après les autres.

Nous sommes toujours prêts à aider les agences nationales et internationales qui se chargent de faire respecter la loi, quand elles nous en font la demande. Je pense que le développement d’une telle collaboration est nécessaire pour le succès de la lutte contre la cybercriminalité, car les entreprises de sécurité sont les premières à posséder les connaissances nécessaires.

Maintenant, laissez-moi vous illustrer comment cela fonctionne en Russie.

Très récemment, le Ministère de l’Intérieur Russe (MVD) et le Service Fédéral de Sécurité (FSB), avec l’assistance de  l’Unité de Recherche KLCybercrime (CIU) en tant qu’expert, sont parvenus à résoudre avec succès une enquête criminelle en relation avec le phishing. Les coupables ont été identifiés et condamnés, la justice a été rendue, et un pas de plus a été fait vers la fin des fantaisies romantiques sur le cybercrime. Du moins je l’espère !

Ce cas aurait été banal s’il n’avait pas eu une particularité : il a été le premier cas de phishing en Russie, dont l’enquête a été menée à terme. Avant cela, il était peu probable d’obtenir de tels résultats devant les tribunaux,  dans le meilleur des cas, il était juste possible de mettre la main sur ceux qui se trouvaient en bas de l’échelle de responsabilité criminelle.

L’histoire a commencé au printemps 2010 tel un scénario classique de phishing :

Un couple de Saint-Pétersbourg avait acquis un malware de type Trojan Qhost auprès du monde souterrain du cybercrime. Ils ont infecté des ordinateurs et ont utilisé le trojan pour rediriger les victimes vers un faux site. Sur celui-ci, sans le savoir les victimes ont révélé les codes d’accès de leurs comptes bancaires sur Internet. Les cybercriminels ont alors accédé aux comptes et ont effectué des retraits de grandes quantités d’argent. Jusqu’à ce qu’ils soient attrapés.

Ce qui est curieux, c’est que les bandits ont été capables d’obtenir une authentification forte et des notifications SMS –  de diverses manières.

Par exemple, les victimes ont reçu un appel qui provenait apparemment d’une banque au cours duquel on leur demandait un code « pour annuler un virement bancaire erroné ». Pour certaines des banques touchées, les criminels ont créé des champs dédiés sur le faux site pour introduire les données depuis un cadre de codes variables, les codes ont été demandés à plusieurs reprises (en référence aux erreurs de la saisie antérieure), de cette manière plusieurs codes valides ont été obtenus pour de futures opérations.

L’enquête a révélé que plus de 170 personnes à travers toute la Russie ont été victimes de cette arnaque, et les pertes ont atteint environ 13 millions de roubles (près d’un demi-million de dollars).

Il s’agit de la version officielle. Regardons maintenant ce qui a vraiment eu lieu.

C’est une histoire sans précédent. Auparavant, en Russie, il était impossible de lancer des procédures pénales contre des opérations de phishing. Les « gentils » n’avaient pas la moindre expérience ni les connaissances spécifiques, ils ne savaient même pas par où commencer à enquêter sur le phishing.

Par chance, il fut décidé que les choses devaient changer, et c’est alors que nous sommes entrés en action. On nous a demandé de réaliser une expertise et de rédiger toute son analyse. La communauté bancaire a fourni tous les documents nécessaires à l’enquête et a été impliquée à tous les niveaux, pendant ce temps, le Service Fédéral de Sécurité (FSB) a mené à terme l’enquête, chargeant ses meilleurs détectives du cas.

Ca a marché ! Une enquête criminelle a été ouverte, et une équipe du Comité d’Investigation du MVD fut créée.

Cependant, ouvrir une enquête est différent de la conclure (bien heureusement). La plupart des enquêtes sur les cybercrimes en Russie échouent, à cause du manque de connaissances des « gentils ». Mais dans ce cas précis d’arnaque cybernétique, nous avons formé spécialement les détectives à la sécurité cybernétique pendant deux mois, et avec la communauté bancaire nous les avons assisté dans toutes les étapes autant que nous le pouvions.

Dans un tel cas, il est également nécessaire de « rester » dans le cas jusqu’à ce qu’il arrive devant les tribunaux. C’est ici que se commet normalement la plus grande erreur –les détectives finissent par se retrouver sans soutien, l’enquête termine en fiasco, et le cas s’écroule. Cette fois-ci, tout a été différent : notre équipe du CIU était toujours à leur disposition – il y a eu de nombreux voyages, des milliers de pages d’analyses sur l’enquête et une communication permanente.

Bien que cela ait été excessivement long, l’enquête a été conclue avec succès. Et même si les criminels n’ont reçu que des condamnations avec sursis et des amendes, ce cas a permis d’établir un précédent (les enquêtes criminelles de phishing devraient et doivent être menées jusqu’au bout), et les détectives ont acquis de l’expérience grâce à notre aide et celle des banques. De plus, quel meilleur message pouvons-nous envoyer à la communauté informatique clandestine et à la jeune génération qui est sur le point d’arriver, afin qu’elle cesse de s’engager dans des actions dangereuses, dommageables et illégales, et que ces jeunes utilisent plutôt leurs cerveaux pour des actions productives, positives et inoffensives.

LIRE LES COMMENTAIRES 0
Laisser un commentaire
Facebook

février 27, 2024

Les récompenses ne sont jamais trop nombreuses. Surtout si elles sont européennes !

Bonjour à tous… depuis l’Autriche ! Mais je n’y suis pas allé que pour admirer depuis ma fenêtre le temps morne qu’il fait en Europe. J’y étais pour les affaires – pour faire beaucoup de choses. Mais surtout pour recevoir ça moi-même ! -> … Parce que quand votre entreprise reçoit une récompense qui n’est […]

juin 27, 2023

Experts en cybersécurité : le SAS est de retour et en présentiel !

Trompettes, roulements de tambour, applaudissements, cris d’encouragement, sifflements… ! Par cet acte, j’ai deux nouvelles à vous annoncer : une bonne, et une autre encore meilleure ! Tout d’abord, cette année nous allons organiser la 15ème édition de notre conférence annuelle de cybersécurité : le Security Analyst Summit (SAS). Quinze ? Incroyable, le temps passe si vite ! Ensuite, nous pouvons […]

janvier 19, 2023

Analyse de 2022 : nos brevets ont connu un franc succès !

L’invention de nouvelles technologies de pointe ne représente que la moitié du travail. Attendez, non ! Je ne devrai pas être pas si catégorique… Les nouvelles technologies d’avant-garde et révolutionnaires sont en réalité un cycle de vie probablement beaucoup plus complexe et long que ce que la majorité des gens pensent au premier abord. Évidemment, si […]

novembre 11, 2022

11 / 11 : ce qui s’est passé ces vingt dernières années !

Mesdames et messieurs ! Et tout à coup, nous avons un nouveau jubilé. Hourra ! Notre système d’exploitation cyber-immunisé, KasperskyOS est actuellement… Attendez ! Non, ce n’est pas exact… Il y a exactement 20 ans, le 11 novembre 2002, nous avons entamé un long voyage extrêmement important : un voyage que nous n’avons toujours pas terminé. Un vaste projet […]

juillet 21, 2022

Cyber-histoires du côté obscur (et d’autres positives) : un piratage audacieux de cryptomonnaie, K s’intéresse aux technologies neuromorphiques et comment entrer dans un centre de données depuis… les toilettes !

Bonjour à tous ! Pour ceux qui gagnent leur pain à la sueur de leur front, ceux qui n’ont pas encore la chance d’être partis en désintoxication numérique vacances, voici quelques cyber-actualités croustillantes pour éviter que votre cerveau ne surchauffe. Il s’agit évidemment d’histoires du côté obscur, mais aussi positives, incroyables et difficiles à croire dans […]

juillet 5, 2022

Un Kart de siècle ? Où le temps est-il passé ?!…

Salut à tous ! Il y a 25 ans et neuf jours, le 26 juin 1997, l’entreprise qui porte le même nom que moi a été inscrite aux registres. Il s’agissait de  » débuts modestes « , littéralement : une douzaine de personnes avec un taux de rotation nul – mais avec une expertise technique particulière, et des projets […]

Plus

Carnet de voyage vidéo