Au cours de la semaine dernière, un acteur malveillant inconnu a peut-être lancé le la plus grande attaque de phishing contre les marchés du dark web. Cette attaque a créé des ravages parmi leurs participants et a remis en question le modèle commercial même des marchés du dark web. Que s'est-il passé, pourquoi est-ce important et qu'est-ce que cela signifie pour le futur proche ?
Le piratage des répertoires du dark web
Il n'y a pas de moteur de recherche sur le dark web qui se rapproche même de loin du niveau de service que Google offre sur le clearweb. À la place, les participants au dark web doivent s'appuyer sur des annuaires qui répertorient les derniers noms de domaine des marketplaces. Parfois, ces noms de domaine changent toutes les heures pour rendre plus difficile le suivi de l'hébergement des sites Web.
Cela signifie que la plupart, sinon la totalité, des participants au dark web s'appuient sur un ou deux répertoires de confiance pour trouver les liens vers les places de marché. Le risque ici est que les participants vont chercher un site de phishing qui volera leurs identifiants. Si cela devait arriver, un acteur malveillant pourrait :
- Reprendre le compte d'un fournisseur, et voler les fonds il a sur le marché.
- Reprendre le compte d'un fournisseur et mettre en place de nouvelles annonces à un prix très bas pour attirer de nombreux clients à la recherche d'une bonne affaire. L'acteur volerait alors les fonds et ne livrerait jamais les achats, ruinant ainsi la réputation du vendeur.
- Diriger un acheteur vers un site de phishing qui reflète un marché du dark web. La seule chose qu'ils changeraient serait les informations de paiement afin que les fonds de l'acheteur se retrouvent dans leurs portefeuilles au lieu de ceux des administrateurs du marché.
En raison de la nature sensible des annuaires du dark web, leurs administrateurs ont mis en place des mesures de sécurité importantes pour recevoir en toute sécurité les domaines sur lesquels se trouvent les places de marché. Ils sont également censés mettre en place des mesures pour que leur propre site Web ne soit pas piraté et que la liste des noms de domaine ne soit pas mise à jour avec de fausses informations.
Depuis entre Le 29 avril et le 5 mai, les deux plus gros annuaires ont été pris en charge par des hackers, ces sécurités ont manifestement échoué. Il apparaît qu'un ou plusieurs acteurs malveillants ont convaincu les bureaux d'enregistrement des annuaires de céder le contrôle des noms de domaine. Pour y parvenir, ils se sont fait passer pour les forces de l'ordre allemandes et ont falsifié une ordonnance du tribunal. Toute personne visitant les répertoires dans le délai imparti se voyait présenter des liens vers des sites de phishing.
Une attaque de phishing à grande échelle cible le réseau de confiance du Dark Web
Cette attaque de phishing a atteint des niveaux sans précédent. Dans le passé, il y avait d'innombrables sites de phishing conçus pour attirer des participants sans méfiance sur le marché du dark web. Cependant, c'est le première fois qu'une attaque coordonnée est lancée contre tous les principaux marchés du dark web.
Ce hack consiste à créer plusieurs sites de phishing sophistiqués, ce qui nécessite beaucoup de ressources. Cela implique également de pirater simultanément deux des plus grands répertoires du dark web et de contrôler leurs sites Web pendant une période prolongée. Ces deux facteurs combinés suggèrent que les acteurs malveillants impliqués sont des individus sophistiqués, dotés de moyens et de compétences.
Il est difficile d'évaluer l'impact direct de ce piratage pour l'instant. Pourtant, l'économie du marché du dark web repose sur le fait que des annuaires fiables contrôleront le flux de participants et les dirigeront en toute sécurité vers les marchés. Si ces les répertoires ne sont pas fiables, il deviendra extrêmement difficile à connecter aux marchés du dark web, ce qui pourrait se traduire par une baisse des niveaux de participation et une baisse des ventes.
Dans son Rapport 2021, Chainalysis montre que les ventes du marché du dark web en dehors de la Russie sont restées stables au cours des 3 à 4 dernières années. Avec une faible croissance, c'est un événement indésirable comme celui-ci qui pourrait en fait générer une diminution de la taille des marchés du dark web, plutôt que la stagnation à laquelle nous avons assisté ces derniers temps.
Un passage aux plateformes décentralisées
Il peut être difficile pour les administrateurs du marché de créer des signaux fiables indiquant que leurs visiteurs naviguent sur un site réel au lieu d'un site de phishing. Il y aura donc toujours une vulnérabilité importante dans le modèle actuel où les annuaires dirigent les participants vers les places de marché. Les risques sont amplifiés car les participants doivent visiter un annuaire chaque fois qu'ils souhaitent visiter un marché. En effet, ce marché a probablement changé de nom de domaine depuis leur dernière visite, et ils doivent donc récupérer le nouveau pour le visiter.
Si les places de marché parvenaient à sécuriser un seul nom de domaine qui reste statique pendant de longues périodes, la nécessité de visiter des annuaires serait beaucoup plus faible, ce qui pourrait aider à réduire la dépendance de l'économie du dark web à l'égard de ces annuaires. De nombreuses propositions ont été faites pour plateformes décentralisées tel que OpenBazaar, ce qui pourrait faciliter la conservation d'un seul domaine, ou ne pas avoir à se déplacer autant sur les places de marché. Des initiatives telles que OpenBazaar ont jusqu'à présent échoué car elles sont compliquées à exploiter, et la recherche autour d'elles reste un énorme défi.
Pourtant, le piratage d'événements qui mettre en péril la sécurité même de l'économie du dark web suffisent à stimuler l'innovation. Il est probable que dans les mois à venir, il pourrait y avoir une augmentation du développement et de l'innovation de plateformes décentralisées plus sécurisées. Notre unité de renseignement continuera de surveiller les conversations des participants au dark web pour identifier ces nouvelles plateformes au fur et à mesure de leur mise en ligne, ainsi que pour les suivre en temps réel.
