Comment cela se passe-t-il quand des cybercriminels, spécialistes des attaques de phishing, se font prendre ?
Dans une affaire qui se retrouve devant les tribunaux britanniques depuis le mois de septembre dernier, la réponse inhabituelle est : dans la voiture première classe d’un train qui circule entre le Pays de Galles et Londres !
C’est là que la police a appréhendé Grant West, 25 ans, alors qu’il se connectait à un compte Alpha Bay sur le darknet, en utilisant un ordinateur portable appartenant à sa petite amie, et que la police suivait de près étant donné qu’il n’arrêtait pas de changer d’adresses IP.
La police a dû agir vite pour attraper l’accusé en flagrant délit, “les mains sur le clavier”, pour ainsi dire. L’arrestation a même été filmée par la caméra CCTV du train.
On a découvert que l’ordinateur portable contenait les données financières de 100 000 personnes, en plus des 63 000 autres numéros de carte de crédit découverts plus tard sur une carte SD au domicile de l’accusé.
La carte SD contenait également des noms d’utilisateur et des mots de passe liés à de nombreuses attaques de phishing menées contre les clients de 200 entreprises, dont Apple, Uber, Sainsbury, Groupon, Nectar, Ladbrokes, Asda, Argos, AO.com, Coral Betting, British Cardiovascular Society et T-Mobile.
La police a finalement repéré West grâce à plusieurs attaques de phishing extrêmement réussie et massive contre les clients du service de livraison de nourriture Just Eat, à partir de l’été 2015.
Les bénéficiaires malheureux se voyaient offrir une fausse récompense de 10£ (environ 10€), en échange d’un questionnaire de satisfaction client à remplir et utilisé, par la suite, pour les attirer vers un site d’hameçonnage, dont le rôle était de récupérer leurs informations d’identification de compte.
On peut penser, à priori, qu’il s’agit du type d’attaque de phishing habituelle qui remplit les boîtes de réception tous les jours, mais cette dernière a assez bien fonctionné, en parvenant à compromettre les données personnels de 165 000 comptes sur plusieurs mois.
Ces données ont ensuite été vendues sur le darknet en tant que “fullz”, terme argotique désignant un ensemble complet de données qui pourraient être utilisées pour commettre un acte frauduleux.
On ne sait pas exactement combien de clients se sont fait prendre, mais cette attaque a coûté 200 000£ (230 000€), en dépit de la non-violation des systèmes à proprement parlé.
La situation a été assez critique pour qu’à la fin de l’année 2015, certains se demandent si Just Eat avait subi, ou non, une violation de données.
La vente de ces identifiants a aidé West à amasser des Bitcoins pour une valeur de 572 500€ (à présent 1.7 millions €), devenant ainsi la première saisie de monnaie virtuelle réalisée par la police métropolitaine de Londres.
West a admis 10 infractions et sera condamné le 27 mai.
Ce cas donne beaucoup réfléchir, notamment sur la facilité avec laquelle les attaques de phishing sont menées lorsque les cybercriminels comprennent comment se frayer un chemin sur le darknet.
Cette facilité a permis à une personne isolée de mener à bien une cyberattaque, en se basant sur la connaissance et les contacts plutôt que sur des compétences avancées en piratage. La facilité avec laquelle l’argent peut être réparti dans des comptes, sous pseudonymes et remplis de Bitcoins que les banques ne détectent pas, est un autre sujet d’actualité.
La police tenait à souligner que les Bitcoins et le darknet sont loin d’être imprenables, a déclaré Michael Gallagher, DCS du Met :
Il a existé un mythe selon lequel le Bitcoin, en particulier, et les crypto-monnaies, en général, étaient anonymes, et un autre mythe consistait à penser que les gens pouvaient évoluer en toute impunité sur le darknet, en restant justement anonymes.
Bien que ce soit vrai, il a fallu beaucoup d’efforts pour enquêter sur une seule cyberattaque afin d’attraper West, et ce après que beaucoup de dégâts aient déjà été causés.
Une attaque élucidée certes, mais combien d’autres restent à découvrir ?
Billet inspiré de The Man on the Train: Caught with his phishing loot, sur Sophos nakedsecurity.
Jerome Vosgien
Et bien les cybercriminels devraient s’abonner aux news de Sophos France, ils auraient reçu cet article sur la confidentialité des données dans les transports en commun : https://news.sophos.com/fr-fr/2017/01/18/security-reflex-8-espionnage-industriel-train-avion/