Les chercheurs découvrent un marché noir énorme et sophistiqué pour le commerce des «  empreintes digitales  » en ligne

La sécurité sur Internet est un jeu de chat et de souris sans fin. Les spécialistes de la sécurité proposent constamment de nouvelles façons de protéger nos précieuses données, uniquement pour que les cybercriminels conçoivent des moyens nouveaux et astucieux de saper ces défenses. Les chercheurs de TU / e ont maintenant trouvé des preuves d’un marché en ligne russe hautement sophistiqué qui échange des centaines de milliers de profils d’utilisateurs très détaillés. Ces «empreintes digitales» personnelles permettent aux criminels de contourner les systèmes d’authentification de pointe, en leur donnant accès à des informations utilisateur précieuses, telles que les détails de carte de crédit.

Notre économie en ligne dépend des noms d’utilisateur et des mots de passe pour nous assurer que la personne qui achète ou transfère de l’argent sur Internet est bien la personne qu’elle dit. Cependant, ce moyen d’authentification limité s’est avéré loin d’être sécurisé, car les gens ont tendance à réutiliser leurs mots de passe sur plusieurs services et sites Web. Cela a conduit à un commerce illégal massif et très rentable des informations d’identification des utilisateurs: selon une estimation récente (à partir de 2017), quelque 1,9 milliard d’identités volées ont été vendues sur les marchés clandestins en un an.

Il n’est pas surprenant que les banques et autres services numériques aient mis au point des systèmes d’authentification plus complexes, qui reposent non seulement sur quelque chose que les utilisateurs connaissent (leur mot de passe), mais aussi sur quelque chose qu’ils possèdent (par exemple un jeton). Ce processus, connu sous le nom d’authentification multifacteur (MFA), limite considérablement le potentiel de cybercriminalité, mais présente des inconvénients. Parce que cela ajoute une étape supplémentaire, de nombreux utilisateurs ne prennent pas la peine de s’y inscrire, ce qui signifie que seule une minorité de personnes l’utilise.

Pour pallier ce problème, un système alternatif d’authentification est récemment devenu populaire auprès de services tels qu’Amazon, Facebook, Google et PayPal. Ce système, connu sous le nom d’authentification basée sur les risques (RBA), examine les «empreintes digitales des utilisateurs» pour vérifier les informations d’identification de quelqu’un. Ceux-ci peuvent inclure des informations techniques de base, telles que le type de navigateur ou de système d’exploitation, mais également des fonctionnalités comportementales, telles que le mouvement de la souris, l’emplacement et la vitesse de frappe. Si l’empreinte digitale est conforme à ce qui est attendu d’un utilisateur (en fonction de son comportement antérieur), il est autorisé à se connecter immédiatement, en utilisant uniquement ses noms d’utilisateur et mots de passe. Sinon, une authentification supplémentaire via un jeton est requise.

Bien sûr, les cybercriminels ont rapidement trouvé des moyens de contourner la RBA, en développant des kits de phishing qui incluent également des empreintes digitales. Cependant, ils ont eu du mal à transformer cela en une entreprise efficace et rentable. L’une des raisons est que ces profils d’utilisateurs varient avec le temps et d’un service à l’autre et doivent être collectés via des attaques de phishing supplémentaires.

Usurpation d’identité en tant que service

Les chercheurs de TU / e ont maintenant trouvé des preuves d’un marché à grande échelle et très sophistiqué qui semble dépasser ces limites. La place de marché, basée en Russie, propose plus de 260 000 profils d’utilisateurs très détaillés, ainsi que d’autres informations d’identification, telles que des adresses e-mail et des mots de passe. « Ce qui est unique dans ce site souterrain, ce n’est pas seulement son échelle, mais aussi le fait que tous les profils sont continuellement mis à jour, ce qui signifie qu’ils conservent leur valeur », explique Luca Allodi, chercheur au groupe Sécurité au département Mathématiques et Informatique. Science, qui avec Ph.D. L’étudiant Michele Campobasso était responsable de la recherche.

« En outre, les clients peuvent rechercher dans la base de données, afin de sélectionner précisément l’internaute qu’ils souhaitent cibler, ce qui permet des attaques de spearphishing très dangereuses. Ils peuvent également télécharger un logiciel qui charge automatiquement les profils d’utilisateurs achetés dans les sites Web ciblés. »

Pour souligner la nature systématique du site Web, Allodi et Campobasso ont inventé le terme «  Impersonation-as-a-service  » (IMPaaS), faisant écho à des services de cloud computing bien connus tels que SaaS (software-as-a-service) et IaaS (Infrastructure en tant que Service). « Pour autant que nous le sachions, c’est le marché criminel le plus vaste et le plus sophistiqué pour offrir systématiquement ces services. »

Faire des recherches sur le marché n’a pas été facile. Pour avoir accès aux listes de profils d’utilisateurs disponibles, les chercheurs ont dû se procurer des codes d’invitation spéciaux partagés par les utilisateurs existants. La collecte des données a également été difficile, car les opérateurs de plate-forme surveillent activement les comptes «escrocs». Les chercheurs ont également décidé de garder secret le vrai nom du site afin de minimiser le risque de représailles des opérateurs du marché.

Prix

Le prix de «l’identité virtuelle» d’un utilisateur sur le marché varie de 1 dollar à environ 100 dollars. L’accès aux profils de crypto-monnaie et aux plateformes webmoney semble être le plus valorisé. «La simple présence d’au moins un profil lié à la cryptographie double presque la valeur moyenne du profil», déclare Allodi.

Un autre facteur important qui fait monter le prix est la richesse du pays où se trouve l’utilisateur. « Cela a du sens: les attaquants cherchant à se faire passer pour et monétiser les profils d’utilisateurs attribuent une plus grande valeur aux profils susceptibles d’apporter des gains financiers plus importants, et ceux-ci se trouvent principalement dans les pays développés », selon Campobasso.

Les profils d’utilisateurs qui donnent accès à plus d’un service et les profils avec des empreintes digitales «réelles» sont également très appréciés, par opposition aux empreintes digitales «synthétisées» par la plateforme.

Utilisation des profils

Dans leur article, les chercheurs décrivent également quelques exemples de la façon dont les criminels «  militarisent  » ces profils, qu’ils ont trouvés sur un canal Telegram secret utilisé par les clients de la plateforme. Dans l’une des attaques signalées, un attaquant décrit la définition de filtres sur les boîtes aux lettres électroniques d’une victime, dans le but de masquer les notifications d’Amazon liées aux achats effectués par l’attaquant à l’aide du compte Amazon de la victime.