211service.com
Suivi des sites Web de phishing sournois
Dans le monde de la fraude en ligne, comme dans la vraie vie, plus les malfaiteurs peuvent opérer longtemps sans se faire prendre, plus ils peuvent gagner d'argent. Et les experts ont découvert que de nombreux hameçonneurs – des escrocs qui utilisent de faux sites Web pour amener les utilisateurs à divulguer des informations personnelles précieuses – ont trouvé une astuce qui rend plus difficile pour les gentils de les bloquer ou de les fermer.
Fini le phishing : Des chercheurs de l'Université de l'Indiana – de gauche à droite, Andrew Kalafut, Youngsang Shin et Minaxi Gupta – étudient une astuce utilisée pour rendre les sites de phishing plus difficiles à détecter et à bloquer.
L'astuce, baptisée flux, permet à un faux site de changer très rapidement d'adresse sur Internet, ce qui rend difficile pour les défenseurs de bloquer ces sites ou d'avertir les utilisateurs peu méfiants. Selon des recherches récemment publiées dans la revue Sécurité et confidentialité IEEE , environ 10 % des sites de phishing utilisent des flux pour se cacher.
Flux utilise le système de noms de domaine d'Internet, qui est chargé de faire correspondre une adresse Web saisie dans un navigateur avec le serveur qui héberge réellement un site. Lorsqu'un utilisateur essaie de visiter une page Web, le système de noms de domaine dirige d'abord l'utilisateur vers un serveur de noms, qui maintient une liste à jour des adresses de sites. Ce serveur de noms indique ensuite au navigateur de l'utilisateur où trouver le site souhaité.
Normalement, seul un petit nombre de machines hébergent des copies d'un site, juste assez pour le faire fonctionner en cas de problème. Les sites frauduleux, cependant, sont une autre histoire. Les sites de phishing sont souvent hébergés via des botnets, des milliers de machines piratées réparties dans le monde entier.
Ces machines n'appartiennent pas aux mécréants, elles appartiennent à toi et moi et nos grands-mères, dit Minaxy Gupta , professeur adjoint d'informatique à l'Université de l'Indiana qui a participé à la recherche. Parce que les hameçonneurs ont accès à tant de machines, explique-t-elle, ils peuvent toutes les utiliser pour déplacer un site rapidement, déroutant les défenseurs tout en gardant le site Web disponible.
Pour utiliser flux, un hameçonneur doit contrôler un nom de domaine, ce qui lui donne le droit de contrôler son serveur de noms. L'hameçonneur configure ensuite le serveur de noms de manière à ce qu'il dirige chaque nouveau visiteur vers un ensemble différent de machines, en parcourant rapidement les milliers d'adresses disponibles au sein du botnet. Gupta note que le flux est plus efficace lorsque le hameçonneur modifie également l'emplacement du serveur de noms. Si le serveur de noms se déplace également vers différents emplacements sur Internet, il est doublement difficile pour les défenseurs de localiser un emplacement central où le faux site Web peut être fermé. Le groupe de Gupta a découvert que 83 % des sites de phishing qui utilisaient le flux de cette manière duraient plus d'une journée avant d'être bloqués, contre un taux de survie de 65 % pour les sites qui n'utilisaient pas de flux.
Le groupe identifie également des méthodes de détection de flux et suggère que la détection de flux soit intégrée au système de nom de domaine lui-même. Étant donné que l'utilisation de cette technique signifie probablement qu'un site est frauduleux, le système lui-même pourrait aider à empêcher les utilisateurs sans méfiance de visiter ces sites.
Raccourcir le temps de détection de quelques heures peut faire une différence significative, déclare Alper Caglayan, président de Milcord , une société basée à Waltham, MA, qui collecte des données en temps réel sur les botnets. S'ils peuvent opérer ne serait-ce qu'une journée, ils ont déjà gagné trop d'argent, ajoute-t-il.
Caglayan note qu'il existe des moyens légitimes d'utiliser le flux, par exemple pour diffuser efficacement du contenu multimédia, mais affirme que la façon dont un botnet utilise le flux devrait être différente. Par exemple, les machines d'un botnet sont dispersées dans le monde selon un schéma qui n'aurait aucun sens pour une entreprise légitime.
Certains experts pensent qu'une approche à plusieurs volets est nécessaire pour arrêter les sites de phishing. La société de Caglayan fournit un service qui aide les fournisseurs de services Internet et d'autres grands administrateurs de réseau à trouver et à arrêter les machines infectées au sein de leurs réseaux.
Certains navigateurs Web utilisent également des listes noires pour mettre les utilisateurs en garde contre les sites frauduleux. Mais des astuces comme le flux rendent presque impossible pour ces listes noires de rester suffisamment à jour pour être utiles. Caglayan prévoit qu'à l'avenir, les navigateurs devront intégrer des systèmes capables de détecter eux-mêmes la fraude.
La détection des flux n'aidera que les personnes qui utilisent des services de blocage de quelque sorte, dit mains Srivastava , directeur technique de Cyveillance , une société de sécurité basée à Arlington, en Virginie. Pour faire face efficacement à une attaque impliquant un flux rapide, il est nécessaire de retirer le domaine d'Internet, ce qui nécessite de travailler avec le registraire ou le registre de ce domaine, dit-il. Cela peut être difficile car certains domaines sont situés dans des pays avec des réglementations souples en matière de fraude sur Internet. Des obstacles plus simples tels qu'une barrière linguistique peuvent également laisser un site frauduleux en activité pendant une période plus longue.
Gupta dit que, comme pour la plupart des crimes sur Internet, le flux n'est qu'un élément d'un jeu plus vaste du chat et de la souris. Vous ne pouvez pas gagner ce jeu, dit-elle. Il suffit de détecter en permanence leurs moyens et de s'y adapter.