La cybercriminalité comme mode de vie

Lorsque vous repérez une tentative de phishing ou un email contenant un document suspect dans votre boîte de réception, vous êtes-vous déjà demandé qui vous l’a envoyé et comment il a obtenu vos coordonnées ? Ou même combien d’argent gagne-t-il réellement grâce à ses activités ?

Nous pouvons maintenant répondre à ces questions. Ces quelques derniers mois, des chercheurs de Check Point ont cherché minutieusement à découvrir l’identité d’un cybercriminel prolifique connu sous le nom de « Dton ». Il actif depuis plus de sept ans et a gagné au moins 100 000 dollars grâce à son « travail ». Il est même très probable qu’il ait gagné plusieurs fois ce montant.

Dton a 25 ans, est célibataire et vit à Benin City, une ville qui compte près de 1,5 million d’habitants dans le sud du Nigeria. D’après son curriculum vitae, Dton semble être un citoyen modèle. Mais il a également une autre identité : Bill Henry, un cybercriminel professionnel qui achète des biens avec des cartes de crédit volées et lance des attaques de phishing et de logiciels malveillants.

Alors comment Dton (alias Bill) a-t-il débuté ses activités de cybercriminel qui lui ont permis de gagner, en moyenne, au moins 14 fois le nouveau salaire minimum national au Nigeria et 3 fois le salaire professionnel moyen chaque année depuis 2013 ?

Les premiers pas : escroqueries aux cartes de crédit volées

Bill / Dton a commencé par spéculer un peu : il a dépensé environ 13 000 dollars pour acheter les détails de 1 000 cartes de crédit sur une place de marché en ligne spécialisée dans le vol de cartes bancaires. Pour chaque carte volée, coûtant environ 4 à 16 dollars chacune, Bill a tenté de faire des achats pour un montant d’environ 200 000 nairas nigérians (NAN), soit l’équivalent d’environ 550 dollars américains. En cas de blocage de la transaction, il tentait un autre commerçant, ou une autre carte jusqu’à ce que l’une d’elles fonctionne. Grâce à son « investissement » dans les 1 000 cartes volées, Bill a pu gagner l’équivalent d’au moins 100 000 dollars.

Il semble cependant que l’achat constant de nouveaux blocs de données de cartes volées ait commencé à irriter Bill / Dton : Il n’aimait pas devoir payer d’avance et souhaitait réaliser des marges et des profits plus élevés. Il a donc commencé à acheter des « leads », c’est-à-dire des adresses email en vrac de cibles potentielles, afin de pouvoir lancer ses propres attaques.

Le passage à la vente multiniveau de logiciels malveillants

Bill / Dton a commencé à acheter des outils du métier de cybercriminel pour l’aider à fabriquer des logiciels malveillants et envoyer du spam à sa liste de cibles. Ces outils comprennent des moteurs de compression et de chiffrement clé en main, des composants de vol d’informations et d’enregistrement de frappe, ainsi que des exploitations de vulnérabilités. Avec ces outils, il pouvait créer ses propres logiciels malveillants, les insérer dans un document d’apparence inoffensive, créer des emails, puis les envoyer à sa liste de cibles.

Cela lui a rapidement permis d’obtenir de nombreux identifiants d’utilisateur qu’il a pu exploiter pour gagner plus d’argent, et satisfaire son patron. Et oui, car Bill / Dton n’est pas un pirate isolé : il a un manager, qui à son tour rend compte à un autre manager. Ces managers transmettent le capital de départ à Bill / Dton, mais ils s’attendent également à de forts retours sur leurs investissements. Il s’agit de l’équivalent cybercriminel de la « vente pyramidale » ou système de vente multiniveau.

Une fois de plus, Bill / Dton a commencé à s’énerver (comme nous le faisons tous parfois) à cause de son patron qui le harcèle sans cesse et de la baisse des bénéfices qu’il tire de l’achat et de l’utilisation des kits de logiciels malveillants clé en main. Il a décidé de développer entièrement son propre logiciel malveillant, un logiciel malveillant qui n’a pas de signature connue et qui est capable de contourner la plupart des défenses, afin de pouvoir travailler pour son propre compte.

Chacun pour soi

Comme Bill / Dton n’est pas un programmeur, il a engagé une personne nommée « RATs &exploits » pour développer ses logiciels malveillants. Mais il semble que l’expression « il n’y a pas d’honneur parmi les voleurs » soit vraie : Bill / Dton a compromis l’ordinateur de M. RATs &exploits avec un outil malveillant d’accès à distance, afin d’espionner son travail et voler certains de ses secrets. Quand cela n’a pas suffi, il a également engagé un autre personnage louche auteur d’un programme spécialisé dans le développement de logiciels malveillants, puis a fini par se disputer avec lui sur des forums clandestins à propos des prix et de l’utilisation. Et lorsque Bill / Dton n’a pas obtenu ce qu’il voulait, il l’a dénoncé à Interpol. La cybercriminalité est un monde sans pitié, et pendant ce temps et malgré ces petits revers, Bill / Dton a continué à gagner de l’argent illégalement.

Le parcours de Dton montre comment même un individu relativement peu qualifié et indiscipliné peut tirer un bénéfice considérable de la fraude et des activités malveillantes en ligne. C’est tout simplement parce que, comme beaucoup d’autres activités criminelles, la cybercriminalité est une question de chiffres. Peu importe que 499 personnes n’ouvrent pas un email contenant un logiciel malveillant : la 500e le fera. Et lorsque vous ciblez des centaines de milliers de personnes à la fois, il suffit d’en infecter quelques-unes pour mettre la main sur des gains mal acquis.

Pour éviter de devenir la victime des milliers de Dton / Bill qui existent à travers le monde, vous devriez suivre ces bonnes pratiques :

1. Lorsque vous effectuez des achats en ligne, veillez à le faire auprès d’une source authentique. Ne cliquez pas sur des liens promotionnels dans des emails, mais cherchez plutôt le commerçant choisi sur Google et cliquez sur le lien de la page des résultats de Google pour éviter que vos données personnelles et vos données de paiement ne soient dérobées.
2. Attention aux offres « spéciales ». Une réduction de 80 % sur le nouvel iPhone ou un « remède exclusif contre le coronavirus pour 150 € » n’est généralement pas le signe d’une opportunité sûre.
3. Méfiez-vous des noms de domaine sosies, des fautes d’orthographe dans les emails et les sites web, et des expéditeurs d’emails inconnus.
4. Protégez votre entreprise grâce à une cyberarchitecture complète de bout en bout, afin de stopper les attaques de type zero-day.

Depuis la découverte des activités et de l’identité de Dton / Bill, l’équipe de recherche de Check Point a informé les autorités nigérianes et internationales, et leur a communiqué ses conclusions.