Le supplice de Paypal

• Imprimer

Les URL forgées, autrement dit les liens nuisibles fabriqués de toute pièce dans le but de véhiculer une attaque, délaissent les banques locales pour adopter les couleurs de Paypal. C'est bien connu : Tous les éleveurs de liens utilisent Paypal. Nous n'en voulons pour preuve, que ce petit résumé en images offert par l'équipe de F-Secure, laquelle s'est livré à une petite expérience de « Google mining » autour du nom du cyber-transporteur de fonds. Le document s'achève par un recensement des sites de phishing les plus manifestes, ou l'on découvre -mais est-ce réellement une surprise- un nombre impressionnants de noms de domaines relativement troublants. Que les « registrars » n'ai pas le temps de vérifier la pertinence de chaque demande d'enregistrement avec les fichiers de l'Inpi par exemple, cela se comprend fort bien. Le temps n'est plus, hélas, ou l'utilisateur d'Internet connaissait ses correspondants par leur seul numéro IP. Mais que cette absence de réaction aille jusqu'à négliger des dépôts manifestement illicites, ceux-là même qui comportent le nom Paypal ou Bank, voilà qui frise la complicité passive. Qui d'autre vient à la porte de Paypal, toquer ? Dancho Danchev, qui se pose peu ou prou les mêmes questions, et nous dresse une liste des domaines aux résonnances paypalesques troublantes. Le phishing est une industrie qui ne peut fonctionner sans un bon maquillage d'adresse, autrement dit un nom de domaine visuellement plausible. Les escrocs du Net se lancent donc dans une course à l'enregistrement massif, avec parfois beaucoup d'imagination. ebay-com-isapidll.com ou paypal-aspx.com sont, il faut l'admettre, des modèles du genre. Et il y en a comme çà des paypalanquées. Certains domaines ne sont que des sous-répertoires injectés sur des serveurs mal entretenu et mal protégés, sur lesquels les pirates ajoutent leurs supercheries graphiques, que l'on n'hésitera pas à appeler des Paypalimpsestes. D'autres, les « rock phish », n'utilisent pas la technique de l'oeuf de coucou, et sont spécifiquement montés pour servir de havre aux opérations de phishing. Les impératifs de rentabilité peuvent conduire à voir héberger des dizaines de sites bidons, ainsi en témoigne cette capture d'écran. Il faut dire que la matière première qui a servi à Dancho Danchev est virtuellement inépuisable, puisque l'auteur s'est inspiré du dernier rapport de l'APWG (anti-phishing working group). Un APWG qui rappelle que la visite d'un site de phishing est toujours une activité dangereuse, y compris pour les personnes ayant parfaitement découvert la supercherie. Car même si l'on ne succombe pas au désir irrépressible d'indiquer en clair son propre numéro de carte de crédit ou un mot de passe d'accès bancaire, ledit site offre généralement au passage un keylogger ou un virus downloader qui récupèreront à son tour, mais un peu plus tard, les informations en question. Chevaux de Troie et Paypal-effroi Ouvrons ici une parenthèse pour citer une toute récente statistique émise par Symantec, au fil du rapport sur les attaques Internet constatées entre janvier et juin de cette année (dito) « 61 % de toutes les vulnérabilités publiées concernent des applications web, 237 vulnérabilités de plug-in de navigateur web ont été recensées, soit plus du triple par rapport à la précédente période. » La technique du plug-in comme vecteur d'intrusion connaît, depuis les 6 derniers mois, une recrudescence formidable. Il n'est pas rare de voir s'installer, sur une machine sacrificielle, plus d'une dizaine d'exploits durant les dix premières secondes suivant l'ouverture de certaines pages Web. La prolifération des « générateurs automatiques de malwares » de la catégorie Mpack et proches cousins y est un peu pour quelque chose.

La calunnia è un venticello
Mais la plus étonnante exploitation de Paypal par des escrocs nous est narrée par... Castlecops, des « white hats » que l'on peut difficilement accuser de mercantilisme sauvage. Cette association américaine spécialisée dans la prévention contre la criminalité informatique subit, depuis plus de deux semaines, les assauts d'une attaque en déni de service. Et comme si cela ne suffisait pas, les personnages leur voulant du mal on inventé une nouvelle forme de nuisance : l'attaque de réputation. Le principe est simple : après avoir dérobé quelques identités et crédences sur eBay, les voleurs forcent une série de virement au bénéfice de leur ennemi juré, CastleCops... Lequel passe immédiatement pour le plus fieffé des escrocs. Les dénégations de l'association n'y pourront mais. En outre, ladite association ne survivant que grâce à l'apport de dons, précisément versés via Paypal, elle se trouve privée de revenus tant que durera la suspension du compte nécessaire au déroulement de l'enquête. Pendant ce temps, le Grand Air de la Calomnie enfle et se répand... Va scorrendo, va ronzando, Nelle orecchie della gente S'introduce destramente, E le teste ed i cervelli En espérant qu'un jour, l'équipe de CastleCops puisse répondre par « La vendetta, oh, la vendetta È un piacer serbato ai saggi »