Les données volées sont une marchandise prisée dans l’underground – mais qu’en est-il de nos identités ?
Les intrusions, piratage et déni de service en tout genre sont malheureusement devenus monnaies courantes, la récente attaque du site Ashley Madison et la compromission des millions de comptes d’utilisateurs qu’il abritait nous montre une fois encore à quel point ces attaques peuvent être violentes.
Le nouveau rapport de TrendMicro nommé « Understanding Data Breaches » tente de mettre en lumière qui sont les cibles de ces attaques, comment elles ont lieu et ce qu’il advient des données une fois dérobées.
Ce rapport établi que le piratage au moyen de logiciels malveillants était de seulement 25 pour cent des attaques visant au vol de données de 2005 à avril cette année.
Il établit aussi qu’un des principaux vecteurs de vol de données est le vol de matériel pur et simple.
Le vol de données n’est donc pas une conséquence à une volonté de casser un système, c’est bel et bien le but recherché par la plupart des attaquants.
Mais qu’arrive-t-il à ces données ensuite ?
Il semble que les données sensibles ne soient pas les plus faciles à monétiser, en raison bien entendu du nombre d’acheteurs potentiels très restreint et par conséquent du fort niveau d’exposition du vendeur. Néanmoins, nombre de ces données sont propices à l’usurpation d’identité pour pénétrer dans des SI / locaux avec une identité soit-disant légitime, améliorer et renforcer une campagne de phishing via un Social Engineering ciblé (spear-phishing) ou à enrichir l’arsenal de cryptanalyse des attaquants (dictionnaire/wordlist).
Les données propices aux révélations fortuites, erreurs ou négligences peuvent, elles, être exploitées à des fins de chantage bien que rarement exécutées par l’attaquant lui-même.
Les données personnelles quant à elles peuvent être vendues à des fins de datamining ou utilisés pour la création de faux profils sur les réseaux sociaux à l’image d’identité existante et réelle, pour l’hameçonnage de victimes.
Les données de paiement sont bien entendu les plus prisées car elles sont exploitables immédiatement. En effet, les prestataires de services de paiement sont une cible prioritaire des pirates avec une augmentation des rapports d’infraction de 169 pour cent au cours des cinq dernières années, ces données ne sont bien évidemment pas les plus faciles à obtenir.
L’industrie de la santé est maintenant la plus affectée par le vol de données, suivies par les gouvernements, la vente au détail et les secteurs de l’enseignement, selon le rapport publié par Trend Micro.
Le rapport montre que les informations personnellement identifiables (PII) sont le type record le plus généralement volé, suivi par des données financières. Détails de carte et comptes bancaires, PayPal, mis à part, on trouve les comptes de jeu en ligne qui sont aussi échangés dans l’underground.
Intéressons-nous à la vente de ces données.
Les comptes appartenant aux opérateurs mobiles peuvent être ainsi achetés pour 14 $ chacun, autour du même prix on peut trouver des comptes eBay, Facebook, Netflix, Amazon. Néanmoins, le prix dépend beaucoup de l’historique du compte, ainsi on trouve des comptes PayPal et eBay à 300 $ chacun pour peu qu’ils aient des mois ou des années d’historique de transaction.
Les comptes bancaires, naturellement, sont disponibles à un prix plus élevé, entre 200 $ et 500 $ par compte, le prix étant proportionnel au solde disponible dudit compte.
Les informations de carte quant à elles sont soumises à des gammes de prix variant selon l’offre et demande, la date de validité de la carte et bien sur le potentiel de profit possible avant désactivation. On trouve des offres dégressives selon les volumes d’achat, méthode de vente prouvant que le vol de ces données est issu d’attaque à grande échelle.
Les cartes de crédit de chaque continent peuvent être achetées, mais les cartes qui ne sont pas issues des Etats Unis ont tendance à être échangées à des prix plus élevés.
Lorsqu’il s’agit de PII, les ventes sont conduites sur une base par-ligne d’approximativement 1 $. Chaque ligne de données contient un nom, une adresse complète, une date de naissance, un numéro de sécurité sociale et d’autres informations personnellement identifiables. TrendMicro révèle que ces données tournent généralement autour des 4 $ la ligne, mais suite aux récentes attaques de masse, la provision a augmenté et la demande a diminué.
Par ailleurs les documents type passeports, permis de conduire, factures d’énergie, justificatifs de domicile, parmi d’autres, sont disponibles pour 10 $ à 35 $ par document.
TrendMicro déclare :
« Any business or organization that processes and/or stores sensitive data is a potential breach target. In today’s interconnected world, data breach prevention strategies should be considered an integral part of daily business operations. Ultimately, no defense is impregnable against determined adversaries. The key principle of defense is to assume compromise and take countermeasures. »
Sources & ressources :
Georges
Consultant Sécurité
[:]