Panorama des arnaques du Web
Pirater par le biais d'Internet est devenu un vrai business. Il a ses codes, ses tarifs, ses techniques... Et un seul but, gagner beaucoup d’argent. Tour d'horizon et décryptage.
Un cadeau du fisc ? Pourquoi ne pas y croire en cette
période de Noël ? Les escrocs du Web ont dû suivre le même raisonnement
lorsque, pour appâter des contribuables en leur promettant de les créditer d’une
somme inattendue, ils ont envoyé des mails à entête du Ministère du Budget afin
de récupérer données personnelles et numéros de carte bancaire.
Le 5 décembre,
Bercy alerte les internautes, mais le mal est fait.
Le lendemain, le Midi Libre nous apprend que les clients de l’opérateur
Orange ont été victimes d’une escroquerie similaire. Le 12, c’est au tour du
Figaro de révéler que la société SCOR aurait déjoué en septembre une tentative
visant à détourner 798 000 euros au moyen d’une simple demande de
virement.
Les techniques pour réaliser ces escroqueries portent des sobriquets
exotiques. On parle de phishing ou hameçonnage. Un modus operandi souvent
utilisé dans des attaques sur les particuliers, les entreprises, les
administrations et même l’État : plus de 150 ordinateurs infiltrés en
décembre 2010 au ministère de l’Économie et des Finances, l’agression ciblant des
informations relatives au G20 !
Hadopi détournée
Rien à dire, les pirates ont de la suite dans les idées. Tout récemment, des particuliers,
adeptes du streaming, ont été victimes d’un code malveillant bloquant leur
ordinateur. Une page affichant le logo de la gendarmerie leur propose de le
débloquer en réglant en ligne une amende de 200 euros pour téléchargement
illégal. Ou comment retourner la loi Hadopi à son profit : une idée qui
avait sans doute échappé au législateur.
Mais les pirates sont toujours à l'affût du meilleur moyen
de détrousser les internautes. Selon une étude réalisée par Eurostat en 2010 dans
les 27 pays de l'UE, 5 % des internautes Français, soit environ 2 millions de
personnes, auraient subi des pertes financières consécutives à une attaque de phishing ou de pharming (type d’hameçonnage qui permet de diriger l’internaute à
son insu vers un site maquillé et de récupérer ses informations
confidentielles, mot de passe notamment).
Un marché noir du
cybercrime
Les pirates ne se contentent pas de ponctionner comptes et
cartes bancaires ; ils revendent les données récupérées : de 2 $ pour
les identifiants d’un compte sans vérification du solde, à 700 $ pour un solde
garanti de 82 000 $. Et parfois même jusqu’à 1 500 $, si le compte a
été utilisé pour des achats en ligne ou sur une plateforme de paiement comme
Paypal.
Le business a aussi ses produits et services dérivés :
vente de copies de cartes bancaires (180 $ minimum), d’appareils à dupliquer
les cartes de crédit (de 200 à 1 000 $), blanchiment d’argent et même logistique
(achat et expédition de marchandises réglées avec des informations bancaires
volées), moyennant des commissions calculées selon les montants ou produits
considérés.
Ce réseau souterrain possède ses circuits de distribution, ses
pages Facebook ou Twitter, et ses boutiques en ligne où les cyber-escrocs
proposent, par exemple, des faux anti-virus. Bizarrement ces boutiques
n’acceptent que les paiements effectués, d’avance (!), par des services comme
ceux de la Western Union.
Gare à la fraude dans
les noms de domaine
La fraude passe aussi par des fausses factures de noms de
domaine ! Fréquemment utilisée par les pirates, la technique connue sous
le nom de slamming consiste à envoyer
aux titulaires de noms de domaine une facture de renouvellement avant
l’échéance prévue.
Les clients peu coutumiers des procédures habituelles paient
de bonne foi, sans se douter qu’ils signent alors le transfert du nom de
domaine à un parfait inconnu… qui ne donnera généralement aucune suite à de
quelconques réclamations.
En novembre dernier, suite à des attaques de ce type, les
registres du .BE (Belgique) et du .IT (Italie) ont ainsi dû recommander la plus
grande prudence après des vagues d'attaques de ce type. Parmi les spécialistes
du genre, on trouve une société appelée Domain
Registry of America et également connue sous le nom de Domain Renewal Group.
Autres cieux, autres mœurs. En Asie, les pirates contactent
les entreprises européennes pour leur expliquer que des noms de domaine basés
sur le nom de l'entreprise, de ses marques ou de ses produits vont être d’ici
peu vendus à des tiers. Et de proposer "généreusement" de sécuriser
ces noms en les enregistrant dès maintenant. Un service non sollicité qui prend
ensuite les entreprises victimes en otage.
On trouve aussi, dans la liste des arnaques possibles, l’inscription,
soi-disant obligatoire, à un annuaire de référencement de noms de domaine, à un
prix particulièrement élevé. L'arnaque est déjà ancienne et se pratique aussi
dans le monde réel (les professions libérales en sont souvent la cible).
Gros sous
Ces escroqueries causent à leurs victimes des dommages considérables.
Dans le cas du phishing, perte
d’argent directe, suite aux ponctions faites sur les cartes ou comptes bancaires,
mais aussi perte indirecte, notamment pour les sites de jeux en ligne dont les
escrocs revendent, contre argent comptant, les clés de licence ou les
personnages des jeux piratés.
Le slamming, quant
à lui, peut provoquer la perte d'un nom de domaine ou générer des risques de
coupure ou de détournement d'un site associé, entraînant de fait une perte de
chiffre d’affaires, mais aussi la détérioration de l’image de marque de
l’entreprise et de son e-reputation.
Se défendre
Face à ces attaques, il est possible de ne pas rester
victime. Une bonne stratégie de défense envisagée dès le départ et actualisée
tous les ans permet de réduire considérablement les risques.
Les outils
existent pour ça : l’audit de sécurité des noms de domaine stratégiques de
l’entreprise qui révèle toutes les failles potentielles la rendant vulnérable
au cybersquatting et au phishing, ou encore les surveillances de noms de
domaine ou de marques qui alertent dès qu’un cas suspect est détecté.