Sur le marché noir de la cybercriminalité, un compte en banque ne vaut pas plus de 50 dollars. Même tarif pour une carte bancaire. Avec 20 dollars de plus, on peut obtenir une identité numérique complète. Et si le client n’est pas satisfait, on le rembourse !
Comment fonctionnent les places de marchés, les forums d’échanges privés, les produits et services disponibles ? Et quels sont les tarifs pratiqués ? G Data a mené une enquête de plusieurs mois dans le Web profond…
Cette enquête quasi policière dans la sphère des cybercriminels montre d’abord la très grande quantité de données privées volées qui y transitent. Et qui dit quantité, dit prix bas, voire très bas. Les accès de comptes email (adresse email, nom d’utilisateur et mot de passe) ne s’achètent pas à l’unité, mais par milliers : 10 000 accès aux comptes email se négocient à 5 $, pas plus. Quant aux adresses emails, il ne faut pas compter plus de 10 $ pour 100 000 adresses. Les offres en gros côtoient également d’autres « produits » plus qualitatifs, indique le rapport. Ainsi, pour quelques dizaines de dollars, il est possible d’acheter l’identité complète d’un individu : nom, prénom, adresse postale, données de cartes bancaires, comptes email, comptes bancaires, etc.
Satisfait ou remboursé…
Concernant le fonctionnement général, l’enquête montre que l’économie cybercriminelle utilise les mêmes codes que le commerce légal. Dans certaines boutiques en ligne il est, par exemple, possible de trier les cartes bancaires disponibles par pays. Certaines offres prévoient même des garanties et des remboursements. Pour les codes malveillants (trojan, hameçonnage, adware) les forums privés sont nombreux et comme sur les sites légaux (de vente aux enchères par exemple), les réputations du vendeur et de l’acheteur sont notées.
Du clé en main pour les débutants
Les outils d’attaque eux-mêmes sont facilement accessibles à travers les réseaux anonymes (Tor ayant la préférence des plateformes). Ces lieux d’échanges proposent pour quelques dollars tout l’attirail du parfait petit pirate, même débutant : des tutoriels expliquent les techniques et comment prendre en main les outils d’attaques. Pour moins de 100 $, un débutant peut monter une campagne d’hameçonnage et l’envoyer à 20 000 adresses email.
