Alors que les fêtes de fin d’année approchent à grand pas, les achats frauduleux s'accélèrent. Des fraudes réalisées à partir de données volées (noms d’utilisateurs, mots de passe et cartes bancaires) qui s'échangent sur les places de marché souterraines. Directeur Technique France de Fortinet, leader mondial de la sécurité réseaux installé à Sophia Antipolis, Christophe Auberger, Directeur Technique France de Fortinet, jette un regard sur ce shopping infernal.

Les logiciels malveillants et les services de hacking sont en passe de devenir des commodités. De son côté, le ransomware as a service, en rendant les attaques par ransomware plus simple et conviviale à exécuter, est devenu très populaire cette année. L’efficacité croissante des solutions de sécurité a incité les cybercriminels à repenser leurs outils et techniques pour cibler plus efficacement leurs victimes et déjouer les défenses en place. Enfin, ce sont les concepteurs de logiciels malveillants qui sont en recherche permanente de nouveaux marchés sur lesquels se positionner et proposer leurs services.

Si le DarkNet héberge de nombreuses places de marché étroitement liées à la cybercriminalité, on constate néanmoins que ces criminels sont nombreux à se contenter de sites grand public de vente ou d’annonces comme eBay ou Craiglist, pour acheter et vendre des informations, outils et techniques. Ainsi, les places de marché n’ont pas comme impératif d’être dissimulées au sein du DarkNet pour être au service de la communauté des cybercriminels.

Une place de marché souterraine, relativement nouvelle, a commencé à attirer des vendeurs aux États- Unis, et une visite sur ce site est riche d’enseignements. Cette plateforme évolue rapidement et les produits proposés à la vente ont un cycle de vie plutôt rapide en rayon. Ainsi, lors d’une journée en particulier, le site proposait un nombre suffisamment élevé de cartes de crédits volées ou fausses pour pouvoir les trier selon des critères comme le code postal. Comme l’illustre la copie d’écran de la page d’accueil du site ci-dessous, les comptes utilisateurs/clients piratés étaient néanmoins plus nombreux que les données de cartes de paiement volées.

Selon la liste ci-dessous, de multiples comptes provenant de différents fournisseurs de services étaient proposés à la vente. Une analyse rapide de ces comptes nous a montré que certains d’entre eux n’étaient que de simples comptes de démo ou gratuits pendant 30 jours. La prudence est donc encore plus de mise chez les acheteurs sur ces places de marché, comparé aux sites légitimes. A noter cependant que certains comptes proposés que ce site semblaient parfaitement réels.

Comme pour toute place de marché en ligne, le feedback et les notes de réputation de la part des acheteurs et des vendeurs constituent une aide précieuse à la décision lorsqu’il s’agit d’acheter ou de vendre. Si ce site reste plutôt mineur par rapport à d’autres places de marché explorées, nous pouvons néanmoins identifier des vendeurs actifs sur le site :

Généralement, la présence en nombre de comptes utilisateurs proposés à la vente signifie souvent que le site d’origine a été piraté suite à une attaque, résultant dans le détournement de la base de données des utilisateurs et de leurs identifiants de connexion.

On constate, après étude de ces éléments, que nombre d’utilisateurs disposent du même nom d’utilisateurs et mot de passe, qui s’affichent à différentes reprises et donc pour de multiples sites Web. On peut en conclure, qu’après piratage des identifiants et données des utilisateurs, les assaillants sont capables d’en extrapoler de multiples noms d’utilisateurs et mots de passe, pour de multiples sites et à partir d’une seule base de données. À titre d’exemple, nombre de sites web proposent des comptes gratuits pendant 30 jours, et les assaillants en profitent pour créer des comptes d’évaluation gratuits en utilisant les noms d’utilisateurs et mots de passe détournés, pour ensuite les revendre sur des places de marchés. Un cybercriminel expert pourrait ainsi utiliser ces données pour utiliser anonymement un service gratuit, mais aussi tenter de les réutiliser sur des sites web fréquentés (banque, Amazon, etc.) puisque nombre d’utilisateurs utilisent les mêmes identifiants pour de multiples comptes.

À l’évidence, l’activité des places de marchés souterraines devrait se développer, alors que les fêtes de fin d’année approchent à grand pas. Les noms d’utilisateurs, mots de passe et données de cartes bancaires volées peuvent être utilisés sur différents sites pour s’acheter des biens et des services. Dans de nombreux cas, compte tenu de la fièvre acheteuse attendue en cette fin d’année, les achats frauduleux ne seront pas toujours rapidement identifiés par les victimes.

Parallèlement, les assaillants sont toujours à la recherche de nouveaux services et données pouvant être vendus sur ces places de marché, tandis que les acheteurs potentiels sont, de leur côté, à la recherche de nouveaux outils et données sur lesquels capitaliser pour cibler leurs victimes à venir.

