Il neige, le sapin et les cadeaux sont prêts, on peut donc s’assoir au coin du feu pour consulter l’un des nombreux rapports annuels sur la sécurité publiés par les éditeurs, constructeurs, ou sociétés de conseil.
Cisco n’échappe pas à la règle, et l’équipe Cisco SIO (Security Intelligence Operations), qui regroupe l’intégralité des équipes de veille Cisco, publie son “annual security report”, que vous pouvez trouver dans son intégralité ici.
J’aurais l’occasion de revenir dans ce blog sur différentes tendances évoquées dans ce rapport, mais je vais commencer par évoquer une partie du rapport qui aborde un sujet sur lequel on m’interroge régulièrement. En effet, on parle souvent (toujours) dans les slides powerpoint nous servant de support de criminalisation, de modèle économique souterrain structuré, bref, que c’est une question d’argent. Or, justement, une partie du rapport annuel Cisco répond à la question suivante : Comment monétiser la cybercriminalité. Voici donc un petit tour d’horizon de la façon dont les cybercriminels gagnent de l’argent :
1. La fraude financière
- Première technique de fraude, récupérer les coordonnées bancaires et login/password avec du phishing un cheval de troie et… soutirer des fonds. Un bon exemple, sur lequel nous reviendrons car il a fait l’actualité en 2009, c’est Zeus.
- Seconde technique, le scam nigérien ou scan “419”, qui évolue de plus en plus vers une version exploitant les sites dits “sociaux”. Par exemple, vous recevez un message d’un de vos contacts facebook vous disant qu’il est coincé à l’étranger et qu’il a besoin d’un transfert d’argent. Si si, ca marche.
2. La vente de produits et la publicité
- Vente de produits : Le classique viagra ou la pilule miracle pour maigrir (ou au moins faire maigrir son portefeuille), mais aussi, et de plus en plus, des ventes de faux logiciels de sécurité (faux antivirus). Ce dernier business a explosé en 2009.
- Publicité, via principalement la fraude au click
3. Les services criminels
- Vendre du malware et des codes d’exploitation de vulnérabilité, qui, réunis en package logiciels, permettent de générer sa propre version de malware, ou de pénétrer des réseaux d’entreprise. Fragus est un bon exemple de ce type d’outil “commercial”.
- Vendre des informations confidentielles (usernames/password, cartes bancaires, …) : Assez évident, avec une particuliarité en 2009, à savoir qu’on trouve à vendre de plus en plus de comptes (user/pwd) non financiers, particulièrement des logins facebook, linkedin, etc.
- Vendre des outils permettant de casser les CAPTCHA, CAPTCHA King par exemple. Les spammeurs sont friands de ce type d’outil.
- Vendre des tests antivirus, ou comment valider que votre malware ne sera pas détecté.
- Vendre de la redirection d’outil de recherche. Vous vous souvenez de koobface ? Il permettait de remplacer les résultats du moteur de recherche de google pour rediriger l’utilisateur sur le site souhaité. Et ca se paie !
Voici donc une tentative de classificiation, à laquelle il faudrait rajouter l’extorsion de fonds sous menace d’un déni de service et le vol/revente d’information concurrentielle… Et vous, en voyez vous d’autres ?