Vous êtes sur le site public du Cert-IST
Les dessous de l'escroquerie sur Internet

Date :02 Mai 2006

Publication: Article

Les sites marchands, et notamment ceux proposant des activités liées aux enchères comme par exemple "eBay", sont parfois (souvent ?) utilisés par des individus peu scrupuleux pour tenter d'extorquer des fonds à des internautes ne maîtrisant pas toutes les subtilités de la navigation sécurisée sur Internet.

A l'occasion d'investigations sur ce type d'escroqueries avec d'autres CERT, nous avons observé que les techniques d'attaques utilisées dans ce domaine sont en constante "amélioration".

Ainsi, à travers cet article, nous allons aborder deux schémas classiques d'escroquerie sur Internet, afin de montrer les comportements et imbrications technologiques liés à ce type d'activité malveillante.

Schéma basé sur la compromission de serveurs tiers

Ce scénario d'escroquerie se base sur l'exploitation d'une vulnérabilité connue sur un serveur web tiers afin d'installer un faux site de paiement en ligne.

A titre d'exemple, une vulnérabilité récente (Cf. Vuln-Coord du 13 avril) dans le progiciel "Horde" (utilisé entre autre par le logiciel webmail "Imp") a servi à compromettre de nombreux serveurs web et à installer, à l'insu des administrateurs, de faux sites de paiement "Paypal" en mode sécurisé (SSL). Même si le certificat numérique proposé par le site frauduleux n'était pas authentique, la seule présence d'une adresse "https://" et du petit cadenas pouvait être suffisant pour tromper l'internaute.

Du fait de la détection et de la forte probabilité de fermeture du site compromis, certains cyber-escrocs utilisent plusieurs serveurs web en miroir. Ainsi, à la fermeture du site miroir actif, site sur lequel se connectent les victimes, le pirate effectue une rotation entre le nom de domaine utilisé dans son URL de redirection (par ex : "https://www.ssl-banque.com/form.php") et une nouvelle adresse IP associée à un autre serveur dont il a le contrôle (miroir).

De même, dans certains cas, il se peut que ce soit le nom de domaine lui-même qui soit fermé par le "Registrar" auprès duquel il était enregistré. Face à cette situation, le cyber-escroc peut parfois (ce n'est pas systématique) faire ré-ouvrir ce domaine chez un autre "Registrar" peu de temps après. Pour plus d'information sur la gestion des noms de domaine, vous pouvez vous reporter à l'article "WhoIs : Les "statuts" possibles pour un nom de domaine Internet" du Bulletin Sécurité n°97 (octobre 2005).

La suite du scénario reste assez commune et suffisamment bien rodée :
  • Le cyber-escroc met en vente un bien attractif sur "eBay" en prenant soin de mettre dans la description de l'objet un lien maquillé vers le faux site "Paypal" et d'inviter l'acheteur à utiliser cette méthode de paiement (1).
  • La victime qui désire acheter le bien clique sur le lien indiqué afin d'utiliser le moyen de paiement proposé.
  • La victime est détournée sur un faux site "Paypal" en mode sécurisé (ce qui lui fait baisser sa vigilance).
  • Elle saisit alors ses coordonnées bancaires et reçoit en retour un message d'erreur lui indiquant que ses données sont invalides.
  • Pendant ce temps, les données préalablement saisies sont sauvegardées et mises à la disponibilité de l'escroc (envoi automatique d'un e-mail à sa destination) pour effectuer des paiements illégitimes avec le compte bancaire de la victime.

(1) Il est à noter que le site "eBay" a été récemment l'objet d'un problème de sécurité (de type"Cross-Site Scripting") concernant la protection des internautes vis-à-vis des contenus saisis par les vendeurs (notamment la partie "description" du bien mis aux enchères). En effet, cette partie n'était pas correctement filtrée et permettait à un vendeur d'y insérer du code JavaScript malveillant (Source : US-CERT - VU#808921).


Schéma basé sur l'envoi d'un programme malveillant à l'acheteur

Ce second scénario, quant à lui, se base principalement sur un abus de confiance entre le vendeur et l'acheteur.

En effet, suite à une enchère ou vente en ligne, le vendeur (l'escroc) propose à l'acheteur de passer par un tiers de confiance (société légitime de type "Escrow.Com" – "escrow" signifiant "séquestre" en français) où le bien et le paiement transitent dans un premier temps vers un tiers qui règle l'échange.

A cet effet, le vendeur envoie un fichier exécutable "anodin" lui expliquant  comment utiliser les services du tiers de confiance. Ce programme, non détecté par les anti-virus comme malicieux, a pour principale fonction de rediriger de manière invisible les requêtes initialement dirigées vers le site web "escrow.com", vers un site web contrôlé par l'escroc. Cette opération s'effectue en modifiant le fichier "hosts" ("C:Windowssystem32driversetchosts") du système Microsoft Windows sur lequel est exécuté le fichier. Le déroulement de cette opération est invisible pour l'utilisateur qui voit simplement s'afficher à l'écran un message général l'invitant à utiliser son navigateur web pour se rendre sur le site "escrow.com".

La victime saisissant l'URL légitime du site web "Escrow.com" sera redirigée à son insu sur un site web contrôlé par le cyber-escroc qui imitera parfaitement le site légitime du tiers de confiance.

Il est à noter cependant que les principaux sites web de vente en ligne proposent des conseils pour sécuriser les achats, et expliquent les escroqueries les plus couramment rencontrées. Nous donnons ci-dessous les liens vers les pages "Ebay", "Paypal" et "Escrow" réservées à la sécurité des transactions


Ces deux exemples permettent de montrer les mécanismes techniques et psychologiques utilisés par les "cyber-escrocs". L'aspect technique peut paraître rudimentaire, mais son utilisation devient de plus en plus calculée et adaptée aux profils des futures victimes.

Ainsi afin d'éviter ce type de désagréments lors d'achats en ligne, il est conseillé de suivre les règles élémentaires suivantes :
  • Ne pas exécuter des fichiers dont l'origine (e-mail ou site web) n'est pas clairement identifiée et approuvée.
  • Ne pas cliquer sur des URL référençant des moyens de paiement en ligne et contenues sur des sites marchands ou dans des e-mails liés aux transactions.
  • Saisir manuellement les URL des sites de paiement en ligne dans la barre d'adresse du navigateur.
  • Vérifier que ces sites proposent des connexions sécurisées (SSL) ET un certificat légitime.
  • Mettre à jour l'anti-virus de manière régulière.
Le Cert-IST, dans son activité de coordination d'incidents, traite régulièrement avec les organismes impactés (organismes hébergeant les sites web compromis ou organismes bancaires détournés) et collabore étroitement avec les autorités françaises sur ce type d'activité.

Pour plus d'information :