Attaques
Un botnet bien coordonné
Par Jerome Saiz, le 08 juin 2006 à 23:49:00.
Le phishing du jour nous vient, en apparence, de la banque MidAmerica. Bien entendu, il n'a d'américain que le nom. Les courriers sont issus en réalité d'un botnet dont les machines sont situées partout, sauf aux Etats-Unis. La campagne est en outre parfaitement synchronisée : les faux emails arrivent en deux vagues très concentrées de dix courriers chacune. Nous avons reporté tout ça sur une carte pour faire plus joli.
A croire que la banque MidAmerica veut vraiment nous faire changer nos mots de passe ! Notre serveur d'email a reçu aujourd'hui deux vagues de dix courriers chacun, tous affirmant provenir de
pw-conf@midamerica.com.Que personne par ici n'ait de compte dans cet établissement importe peu : contrairement à sa traduction courante, le phishing est plus proche de la pêche au filet (option mailles fines) que de l'hameçonage de précision.
Il s'agit donc d'un phishing très ordinaire, à ceci près qu'il démontre la parfaite coordination que permet un botnet : les dix courriers de la première vague sont arrivés des quatre coins de la planète en trois minutes seulement, soit un peu plus de trois courriers par minute. Trente minutes plus tard, la seconde vague venait s'échouer aux portes de notre serveur. Elle mettra, elle, huit minutes, soit environ un mail par minute. L'affaire était ainsi réglée en moins d'une heure.
Nous nous en tirons à bon compte : lors de certaines campagnes, un site victime de l'usurpation de son identité ou d'un déni de service peut subir un flux de plusieurs milliers d'emails à l'heure pendant plusieurs jours.
Afin de mieux illustrer notre petit botnet, nous avons reporté sur une mappemonde les flux de ces courriers. L'épaisseur des traits est proportionnelle au nombre d'emails provenant des pays où sont situés les ordinateurs détournés. L'Asie l'emporte donc haut la main, mais l'Europe fournit le reste des PC zombies : l'on retrouve ici la tendance signalée par l'éditeur Sophos au mois d'avril dernier.
Le résultat n'impressionnera probablement guère les habitués de nos colonnes. Mais il pourra donner à réfléchir aux autres.
"Les autres", ce sont par exemple ces Internautes Français qui ne se sont jamais souciés de savoir si leur PC était détourné de la sorte (l'un d'eux, hébergé chez 9 Telecom, faisait d'ailleurs partie de cette attaque).
Bref, ceux-là même à qui on aurait envie de dire "protège ton ordi" !
Au milieu, c'est nous...
Cartes blanches
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Alors qu'OpenID attise l'intérêt des géants de l'informatique, l'acquisition de Credentica par Microsoft laisse augurer d'une possible guerre des « standards » en matière de gestion des identités sur le Web.
Le risque induit par un nouveau projet peut mettre en danger l'entreprise. Une analyse de risque en amont est indispensable.
Les plus lus
Les thématiques
DNS : le pire a été évitéLes bénéfices de l'IAM chez Sofinco, deux ans aprèsLes RSSI du monde bancaire à l'aube d'une vague de démissions ?Un nouveau Kerviel chez Morgan Stanley... comme prévuLes banques s'attendent à un nouveau KervielLe Ministre, la maîtresse et les dossiers secretsQuand Safari ouvre la porte de Windows... grâce à Internet ExplorerLe role management suscite l'intérêt des RSSIAntivirus : la révolution in the cloudKaspersky: Stéphane Le Hir monte en grade
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
