Une analyse actuelle du marché illégal indique que la plupart des données volées sont désormais vendues via Messenger.
Un nouveau rapport d’Agari et de PhishLabs de HelpSystems montre des changements importants sur le marché au cours du deuxième trimestre de cette année. La vente de données volées passe considérablement des forums et des marchés du dark web aux messagers basés sur le chat.
Les résultats de l’analyse sont cohérents avec la fermeture ou le retrait de certains grands sites de cardage du dark web au premier trimestre de l’année. UniCC a volontairement fermé ses opérations à la mi-janvier. SSNDOB a été saisi par le FBI début juin, pour ne citer que deux exemples.
Les informations volées analysées dans le rapport, couvrant des centaines de milliers d’attaques enregistrées au deuxième trimestre 2022, ont été en grande partie obtenues par le biais d’attaques de phishing et de réseaux sociaux. Celles-ci visaient principalement les banques, les coopératives de crédit, les fournisseurs de télécommunications et les fournisseurs de services financiers.
Messenger comme premier canal de distribution illicite
Selon HelpSystems, les données de carte de crédit, surnommées « Fullz » dans le rapport, sont toujours le « la principale menace promue par les criminels » sur le web sombre. La vente se déroule de plus en plus dans des chats privés via Messenger et non via des publicités sur le dark web ou dans des forums de hackers.
Selon la répartition des ventes de données volées sur le dark web au deuxième trimestre 2022, les places de marché du carding ont enregistré une baisse de près de 14 %. Les forums et les places de marché générales sont également en retrait depuis des mois.
D’autre part, 45% des données ont été vendues via des applications de messagerie basées sur le chat. C’était 24,1% de plus qu’avant. Les services basés sur le chat sur Internet sont, par exemple, Telegram, WhatsApp, Matrix, Jabber (XMPP) & Co. Telegram serait idéal pour cela car la vente pourrait être traitée automatiquement via un bot.
Vishing = hameçonnage en combinaison avec l’ingénierie sociale
Mais il ne s’agit pas seulement de Messenger en tant que canal de vente attractif. Le rapport a également noté comment les cybercriminels ont obtenu les données illégalement. Une augmentation significative du nombre d’attaques de « vishing hybride » a été observée entre le premier trimestre de l’année dernière et le deuxième trimestre de 2022. Les attaques de vishing hybrides sont des attaques à plusieurs volets. Ceux-ci commencent généralement par une victime recevant un e-mail de phishing.
Il comprend un numéro de téléphone qui prétend provenir d’une source légitime. Le contenu de l’e-mail est destiné à inciter la victime à appeler le numéro. Ensuite, les attaquants de l’autre côté de la ligne essaient d’extraire des informations sensibles de la victime en utilisant l’ingénierie sociale.
« Les acteurs de la menace utilisent des méthodes nouvelles et inhabituelles pour maximiser l’efficacité de leurs attaques. » C’est ce qu’a écrit PJ Bradley, contributeur de Tripwire, dans un résumé du rapport.
« Les attaques de vishing hybrides observées au deuxième trimestre sont un excellent exemple de cybercriminels changeant de tactique pour contourner les mesures de sécurité »conclut-il.
Les attaques de phishing ont régulièrement augmenté en 2022, les attaques sur les réseaux sociaux ayant augmenté de plus de 100 % au cours des 12 derniers mois.
Le rapport note également que le cheval de Troie Emotet représente désormais près de la moitié de toutes les attaques de logiciels malveillants. Et que 60 % des attaques de phishing avec vol d’informations d’identification ciblent les informations d’identification Office 365, qui semblent être les informations d’identification en ligne les plus lucratives.
Quiconque souhaite obtenir le rapport en anglais via Messenger en tant que canal de vente doit divulguer certaines informations sur lui-même avant de le télécharger.
