http://www.01net.com/editorial/365342/huit-administrateurs-de-botnets-coinces-par-le-fbi/
Huit administrateurs de botnets coincés par le FBI
L'agence gouvernementale a identifié plusieurs pirates informatiques utilisant des PC zombies pour mener leurs attaques. Ils ont été condamnés.
La rédaction , 01net., le 03/12/2007 à 10h00
En juin dernier, le FBI déclarait la guerre à la cybercriminalité dans une opération nommée Roast Bot. Moins de 6 mois plus tard, l'agence gouvernementale a réussi à identifier huit bot herders. Ces pirates informatiques qui exploitent des centaines de PC zombies (contrôlés à l'insu de leurs utilisateurs) pour mener à bien des opérations malveillantes, comme le vol de données personnelles, le piratage de serveurs, etc. Les individus ont depuis été condamnés et purgent des peines diverses.
« Aujourd'hui, les botnets sont une arme de choix pour les cybercriminels. Ils cherchent à dissimuler leurs activités criminelles en utilisant les ordinateurs de tierces parties pour mener leurs méfaits. (...) Nous allons poursuivre nos efforts pour trouver les personnes qui tentent d'exploiter des internautes anonymes », a déclaré Robert, S. Mueller, le directeur du FBI dans un communiqué daté du 29 novembre 2007.
Un panel de pirates
Le bureau d'investigation publie sur son site Internet la liste des pirates arrêtés dans le cadre de son plan. Parmi eux : Ryan Brett Goldstein, un jeune homme de 21 ans, condamné pour avoir lancé une attaque par déni de service sur le réseau de l'université de Philadelphie. Ou encore John Schiefer, qui du haut de ses 26 ans a créé un code malveillant afin d'intercepter des communications électroniques. Il s'est ainsi procuré des noms d'utilisateurs et des mots de passe grâce auxquels il a effectué illégalement des achats pour son propre compte.
Plus audacieux, Alexander Dmitriyevich Paskalov, 38 ans, a écopé de 42 mois de prison pour avoir participé à une vaste escroquerie par phishing en copiant le site d'une institution financière sur lequel il attirait les clients de l'établissement pour leur extorquer leurs données personnelles. Plusieurs millions de dollars auraient été ainsi détournés.
Parallèlement, le FBI rappelle que 13 avis de recherche ont été lancés à l'intérieur et à l'extérieur des Etats-Unis pour interpeller d'autres individus soupçonnés de commettre des attaques informatiques.
lundi 3 décembre 2007
mardi 21 août 2007
Suspect named in TJX credit card probe
http://www.boston.com/business/personalfinance/articles/2007/08/21/suspect_named_in_tjx_credit_card_probe/
Suspect named in TJX credit card probe
Ukrainian's arrest seen as break in record fraud case
By Ross Kerber, Globe Staff | August 21, 2007
Authorities have zeroed in on a Ukrainian man they suspect played a key role in the sale of many credit card numbers stolen from TJX Cos. in what is considered the biggest corporate data breach to date.
Officials hope the recent arrest of Maksym Yastremskiy will be a breakthrough in the investigation of who hacked into systems at TJX and other companies, said Greg Crabb, a program manager in the global investigations division of the US Postal Inspection Service. The service is among various law enforcement agencies trying to track down hackers who made off with more than 45 million credit and debit card numbers from TJX starting in 2005.
Crabb said Yastremskiy allegedly sold card numbers through online forums hosted overseas, sometimes in Cyrillic or that were password protected. He is likely the largest seller of stolen TJX numbers, Crabb said.
Prices ranged from $20 to $100 per stolen card, and the cards were sold in batches of up to 10,000, depending on factors like the credit limits of the consumer accounts being traded. Crabb said Yastremskiy is associated with at least one other Ukrainian man previously charged with similar crimes, though unrelated to the TJX case.
"These guys are selling the good stuff," Crabb said.
It's unclear whether Yastremskiy is the mastermind behind the TJX breach itself. Yastremskiy's capture was first reported several weeks ago, though a link to TJX hasn't been made until now. Turkish police arrested him at a nightclub in the resort of Kemer, according to a French summary of a report by Turkish news agency Anatolia. The agency quoted a police official who said Yastremskiy is "one of the world's important and well-known computer pirates."
The Postal Inspection Service is involved in the investigation because it protects US mail customers. In the case of TJX, the postal service has jurisdiction because it is protecting the banks that mailed thousands if not millions of replacement credit cards to consumers whose data was compromised in the breach of TJX, the Framingham parent of stores such as TJ Maxx and Marshalls.
Other agencies involved in the probe include the US Secret Service and the Justice Department. Spokespeople for both agencies said officials wouldn't comment. Officials at the Ukrainian embassy in Washington did not return messages. A spokeswoman for TJX declined to comment.
Last week TJX said it expects to spend $256 million -- 10 times more than it had previously disclosed -- to cover costs related to the breach, such as improving security and dealing with the growing number of lawsuits filed by banks and other issuers of credit and debit cards. Some analysts predict the breach will cost more than $1 billion eventually, including the cost of canceling and reissuing millions of compromised cards.
The case is shaping up as a watershed event in the debate over organizations' responsibilities in protecting consumer data, amid rising security costs to banks, retailers, and card issuers.
TJX has said it believes hackers placed software on the company's computer network to capture data from at least 45.7 million customer credit and debit cards. The breach seems to have lasted from 2005 until TJX discovered the problem at the end of 2006, and to have involved data from customer transactions as early as 2003.
Some numbers were used to make fake credit cards, which law enforcement authorities say were used to buy millions of dollars in expensive electronics from Wal-Mart and other retailers in Florida and elsewhere around the world. Authorities in Florida have won guilty pleas from about 10 people related to the manufacture or use of fake cards, and some of these numbers were originally sold by Yastremskiy, Crabb said.
Crabb said officials are still investigating how Yastremskiy came to obtain the card numbers from the hackers who penetrated TJX in the first place.
Data-security experts say it's common for data thieves to operate in loosely organized rings and said such thieves may not even know each other well. In this case, that could mean the people who committed the breach of TJX itself may only have sought out middlemen afterward to buy card numbers, who in turn could sell them to make phony credit cards for use by people like those arrested in Florida.
That makes these crimes different than traditional credit-card fraud cases involving just a few stolen numbers at a time, said James Gaughran, chairman of the International Association of Financial Crimes Investigators, a trade group in California. "The difference now is that they're able to trade in bulk," he said, sometimes thousands of card numbers at a time.
Authorities allege that's what happened in the case of another Ukrainian, Dmitry Golubov, who was charged there in 2005 with trafficking millions of stolen credit card numbers based on an investigation by Crabb and others. But pursuing these cases internationally can be complex; Golubov's trial dates have been postponed repeatedly and a spokesman for the US Justice Department said the agency now considers Golubov a fugitive.
Ross Kerber can be reached at kerber@globe.com.
Suspect named in TJX credit card probe
Ukrainian's arrest seen as break in record fraud case
By Ross Kerber, Globe Staff | August 21, 2007
Authorities have zeroed in on a Ukrainian man they suspect played a key role in the sale of many credit card numbers stolen from TJX Cos. in what is considered the biggest corporate data breach to date.
Officials hope the recent arrest of Maksym Yastremskiy will be a breakthrough in the investigation of who hacked into systems at TJX and other companies, said Greg Crabb, a program manager in the global investigations division of the US Postal Inspection Service. The service is among various law enforcement agencies trying to track down hackers who made off with more than 45 million credit and debit card numbers from TJX starting in 2005.
Crabb said Yastremskiy allegedly sold card numbers through online forums hosted overseas, sometimes in Cyrillic or that were password protected. He is likely the largest seller of stolen TJX numbers, Crabb said.
Prices ranged from $20 to $100 per stolen card, and the cards were sold in batches of up to 10,000, depending on factors like the credit limits of the consumer accounts being traded. Crabb said Yastremskiy is associated with at least one other Ukrainian man previously charged with similar crimes, though unrelated to the TJX case.
"These guys are selling the good stuff," Crabb said.
It's unclear whether Yastremskiy is the mastermind behind the TJX breach itself. Yastremskiy's capture was first reported several weeks ago, though a link to TJX hasn't been made until now. Turkish police arrested him at a nightclub in the resort of Kemer, according to a French summary of a report by Turkish news agency Anatolia. The agency quoted a police official who said Yastremskiy is "one of the world's important and well-known computer pirates."
The Postal Inspection Service is involved in the investigation because it protects US mail customers. In the case of TJX, the postal service has jurisdiction because it is protecting the banks that mailed thousands if not millions of replacement credit cards to consumers whose data was compromised in the breach of TJX, the Framingham parent of stores such as TJ Maxx and Marshalls.
Other agencies involved in the probe include the US Secret Service and the Justice Department. Spokespeople for both agencies said officials wouldn't comment. Officials at the Ukrainian embassy in Washington did not return messages. A spokeswoman for TJX declined to comment.
Last week TJX said it expects to spend $256 million -- 10 times more than it had previously disclosed -- to cover costs related to the breach, such as improving security and dealing with the growing number of lawsuits filed by banks and other issuers of credit and debit cards. Some analysts predict the breach will cost more than $1 billion eventually, including the cost of canceling and reissuing millions of compromised cards.
The case is shaping up as a watershed event in the debate over organizations' responsibilities in protecting consumer data, amid rising security costs to banks, retailers, and card issuers.
TJX has said it believes hackers placed software on the company's computer network to capture data from at least 45.7 million customer credit and debit cards. The breach seems to have lasted from 2005 until TJX discovered the problem at the end of 2006, and to have involved data from customer transactions as early as 2003.
Some numbers were used to make fake credit cards, which law enforcement authorities say were used to buy millions of dollars in expensive electronics from Wal-Mart and other retailers in Florida and elsewhere around the world. Authorities in Florida have won guilty pleas from about 10 people related to the manufacture or use of fake cards, and some of these numbers were originally sold by Yastremskiy, Crabb said.
Crabb said officials are still investigating how Yastremskiy came to obtain the card numbers from the hackers who penetrated TJX in the first place.
Data-security experts say it's common for data thieves to operate in loosely organized rings and said such thieves may not even know each other well. In this case, that could mean the people who committed the breach of TJX itself may only have sought out middlemen afterward to buy card numbers, who in turn could sell them to make phony credit cards for use by people like those arrested in Florida.
That makes these crimes different than traditional credit-card fraud cases involving just a few stolen numbers at a time, said James Gaughran, chairman of the International Association of Financial Crimes Investigators, a trade group in California. "The difference now is that they're able to trade in bulk," he said, sometimes thousands of card numbers at a time.
Authorities allege that's what happened in the case of another Ukrainian, Dmitry Golubov, who was charged there in 2005 with trafficking millions of stolen credit card numbers based on an investigation by Crabb and others. But pursuing these cases internationally can be complex; Golubov's trial dates have been postponed repeatedly and a spokesman for the US Justice Department said the agency now considers Golubov a fugitive.
Ross Kerber can be reached at kerber@globe.com.
mercredi 27 juin 2007
L'auteur des variantes des virus CommWarrior et Cabir arrêté
Source : http://www.reseaux-telecoms.net/actualites/lire-l-auteur-des-variantes-des-virus-commwarrior-et-cabir-arrete-16650.html
Edition du 26/06/2007 - par Eddye Dibar / IDG News Service
La police espagnole a arrêté l'auteur des variantes des virus pour téléphones mobiles CommWarrior et Cabir. Selon l'Agence France Presse (AFP) l'homme âgé de 28 ans a été arrêté à Valence. Il est accusé d'avoir créé et diffusé 20 nouvelles variantes.
CommWarrior et Cabir sont eux-mêmes des variantes issues du même virus affectant les téléphones fonctionnant sous O.S. Symbian tels que les Nokia Series 60. Ils se propagent via Bluetooth. Ces virus ont infecté plus de 115 000 téléphones. Ron O'Brian, analyste chez Sophos indique qu'il ne s'agit pas d'une menace critique. Il ajoute que le suspect arrêté n'est probablement pas le créateur de Cabir. Il y a trois an un brésilien a diffusé le code source de ce ver sur Internet.
Edition du 26/06/2007 - par Eddye Dibar / IDG News Service
La police espagnole a arrêté l'auteur des variantes des virus pour téléphones mobiles CommWarrior et Cabir. Selon l'Agence France Presse (AFP) l'homme âgé de 28 ans a été arrêté à Valence. Il est accusé d'avoir créé et diffusé 20 nouvelles variantes.
CommWarrior et Cabir sont eux-mêmes des variantes issues du même virus affectant les téléphones fonctionnant sous O.S. Symbian tels que les Nokia Series 60. Ils se propagent via Bluetooth. Ces virus ont infecté plus de 115 000 téléphones. Ron O'Brian, analyste chez Sophos indique qu'il ne s'agit pas d'une menace critique. Il ajoute que le suspect arrêté n'est probablement pas le créateur de Cabir. Il y a trois an un brésilien a diffusé le code source de ce ver sur Internet.
lundi 4 juin 2007
La gendarmerie démantèle un gros réseau de contrefaçon sur Internet
http://www.01net.com/article/350275.html
Une dizaine de personnes ont été interpellées par les autorités. Organisées en réseau, elles écoulaient sur Internet des contrefaçons d'articles de sport de marques Adidas, Nike, et Puma.
Philippe Crouzillacq , 01net., le 04/06/2007 à 19h30
C'est une goutte d'eau dans l'océan de la cybercriminalité, mais la prise est symbolique à plus d'un titre. La compagnie de gendarmerie de Louviers (Eure) a mis un terme aux activités frauduleuses d'une dizaine de personnes sur Internet. Organisés en réseau, les trafiquants commercialisaient via plusieurs sites dédiés (epifa.com, lordfoot.com, confidentiel.com) des chaussures de sport contrefaites.
En mars 2006, c'est la découverte fortuite d'un catalogue suspect dans une voiture immergée dans la Seine qui a mis les enquêteurs sur la piste, rapporte l'AFP. « La marchandise était commandée directement en Chine et au fil du temps le réseau en était venu à réaliser un chiffre d'affaires de plusieurs milliers d'euros par jour, explique le chef d'escadron François de Périer, commandant de la compagnie de gendarmerie de Louviers. Au début, les membres du réseau effectuaient de simples dépôts et des virements sur leur compte bancaire, puis certains ont décidé de créer une société. »
Les responsables de l'organisation gagnaient plusieurs milliers d'euros par mois. Et, selon l'AFP, l'argent dégagé par ce trafic était consacré à l'achat de produits de luxe ou était investi dans des sociétés offshore, ou bien encore dans des biens immobiliers en France, en Espagne et au Liban.
Aujourd'hui mises en examen pour blanchiment d'argent, contrebande de marchandises prohibées, contrefaçon, faux et usage de faux en bande organisée, les personnes interpellées encourent, outre la confiscation des biens concernés, 382 000 euros d'amende et 10 ans de prison. Mais cette opération, malgré son incontestable succès n'est que la partie émergée de l'iceberg.
Revente de listes de sites sur Internet
« La vente de contrefaçons sur Internet a pris des proportions phénoménales, commente Katrina Senez, responsable de la protection des marques à la Fédérations des industries du sport et des loisirs (Fifas). Nous avons affaire à des structures très organisées qui n'hésitent plus à mettre dans la boucle, c'est-à-dire à engager comme "revendeurs locaux" des personnes en grande difficulté (des étudiants, des chômeurs, ou des allocataires du RMI), qui, moyennant quelques milliers d'euros par mois, vont écouler de la marchandise contrefaite sur des sites comme eBay (...). » Selon elle, on trouve même des sites qui, pour 29 euros, proposent aux internautes de leur vendre une liste de sites où ils pourront trouver des contrefaçons et le cas échéant démarrer leur petit business frauduleux sur Internet.
Pour Marc-Antoine Jamet, président d'Unifab (Union des fabricants pour la protection internationale de la propriété intellectuelle), l'irresponsabilité et l'impunité qui caractérisent les grands sites d'enchères en ligne sont parfaitement inadmissibles. « Quand on regarde le top des ventes de certains sites, parfois, sur les dix meilleures, huit d'entre elles concernent de la contrefaçon, c'est dire l'ampleur du phénomène, explique-t-il. On ne peut pas durablement impliquer des hébergeurs sur des dossiers comme le nazisme et la pédophilie, et continuer à les déresponsabiliser et à les mettre hors de cause dès qu'il s'agit de contrefaçon. »
La contrefaçon aux mains des triades
Le président d'Unifab pointe plus particulièrement du doigt la Chine, pays à l'origine d'une grande partie du commerce mondial de la contrefaçon, où les filières sont contrôlées par des consortiums industriels liés à des cadres corrompus du PCC (Parti communiste chinois) ou bien par les triades, des organisations criminelles très actives surtout dans les régions de Canton et de Shenzhen.
En France, au sein du ministère de l'Economie et des Finances, une structure, le Tracfin est chargée de combattre ces nouvelles formes de criminalité. Selon Marc-Antoine Jamet, cette cellule de renseignement financier traiterait aujourd'hui une cinquantaine d'affaires liées à des paiements par carte bancaire pour l'achat de contrefaçons en ligne.
Une dizaine de personnes ont été interpellées par les autorités. Organisées en réseau, elles écoulaient sur Internet des contrefaçons d'articles de sport de marques Adidas, Nike, et Puma.
Philippe Crouzillacq , 01net., le 04/06/2007 à 19h30
C'est une goutte d'eau dans l'océan de la cybercriminalité, mais la prise est symbolique à plus d'un titre. La compagnie de gendarmerie de Louviers (Eure) a mis un terme aux activités frauduleuses d'une dizaine de personnes sur Internet. Organisés en réseau, les trafiquants commercialisaient via plusieurs sites dédiés (epifa.com, lordfoot.com, confidentiel.com) des chaussures de sport contrefaites.
En mars 2006, c'est la découverte fortuite d'un catalogue suspect dans une voiture immergée dans la Seine qui a mis les enquêteurs sur la piste, rapporte l'AFP. « La marchandise était commandée directement en Chine et au fil du temps le réseau en était venu à réaliser un chiffre d'affaires de plusieurs milliers d'euros par jour, explique le chef d'escadron François de Périer, commandant de la compagnie de gendarmerie de Louviers. Au début, les membres du réseau effectuaient de simples dépôts et des virements sur leur compte bancaire, puis certains ont décidé de créer une société. »
Les responsables de l'organisation gagnaient plusieurs milliers d'euros par mois. Et, selon l'AFP, l'argent dégagé par ce trafic était consacré à l'achat de produits de luxe ou était investi dans des sociétés offshore, ou bien encore dans des biens immobiliers en France, en Espagne et au Liban.
Aujourd'hui mises en examen pour blanchiment d'argent, contrebande de marchandises prohibées, contrefaçon, faux et usage de faux en bande organisée, les personnes interpellées encourent, outre la confiscation des biens concernés, 382 000 euros d'amende et 10 ans de prison. Mais cette opération, malgré son incontestable succès n'est que la partie émergée de l'iceberg.
Revente de listes de sites sur Internet
« La vente de contrefaçons sur Internet a pris des proportions phénoménales, commente Katrina Senez, responsable de la protection des marques à la Fédérations des industries du sport et des loisirs (Fifas). Nous avons affaire à des structures très organisées qui n'hésitent plus à mettre dans la boucle, c'est-à-dire à engager comme "revendeurs locaux" des personnes en grande difficulté (des étudiants, des chômeurs, ou des allocataires du RMI), qui, moyennant quelques milliers d'euros par mois, vont écouler de la marchandise contrefaite sur des sites comme eBay (...). » Selon elle, on trouve même des sites qui, pour 29 euros, proposent aux internautes de leur vendre une liste de sites où ils pourront trouver des contrefaçons et le cas échéant démarrer leur petit business frauduleux sur Internet.
Pour Marc-Antoine Jamet, président d'Unifab (Union des fabricants pour la protection internationale de la propriété intellectuelle), l'irresponsabilité et l'impunité qui caractérisent les grands sites d'enchères en ligne sont parfaitement inadmissibles. « Quand on regarde le top des ventes de certains sites, parfois, sur les dix meilleures, huit d'entre elles concernent de la contrefaçon, c'est dire l'ampleur du phénomène, explique-t-il. On ne peut pas durablement impliquer des hébergeurs sur des dossiers comme le nazisme et la pédophilie, et continuer à les déresponsabiliser et à les mettre hors de cause dès qu'il s'agit de contrefaçon. »
La contrefaçon aux mains des triades
Le président d'Unifab pointe plus particulièrement du doigt la Chine, pays à l'origine d'une grande partie du commerce mondial de la contrefaçon, où les filières sont contrôlées par des consortiums industriels liés à des cadres corrompus du PCC (Parti communiste chinois) ou bien par les triades, des organisations criminelles très actives surtout dans les régions de Canton et de Shenzhen.
En France, au sein du ministère de l'Economie et des Finances, une structure, le Tracfin est chargée de combattre ces nouvelles formes de criminalité. Selon Marc-Antoine Jamet, cette cellule de renseignement financier traiterait aujourd'hui une cinquantaine d'affaires liées à des paiements par carte bancaire pour l'achat de contrefaçons en ligne.
vendredi 1 juin 2007
Hackers steal $450,000
http://www.presstelegram.com/news/ci_6025127
City officials uncover general fund break-in, recover cash.
By Gene Maddaus, Staff writer
Article Launched: 05/30/2007 10:16:26 PM PDT
CARSON - Computer hackers broke into the city of Carson's general fund account and stole $450,000, the city revealed Wednesday.
Investigators believe the thieves were able to access the account by using a spyware program to steal passwords from a city-owned laptop computer, Treasurer Karen Avilla said.
Avilla notified the city's bank upon discovering the theft. The bank was able to freeze 90 percent of the money. Sheriff's deputies and Secret Service agents are still trying to track down the other $45,000.
The money was stolen in two wire transfers. Avilla said she noticed the first transfer, in the amount of $90,500, last Thursday. The money had been transferred the previous day to an account in North Carolina, according to a sheriff's report.
Avilla had not authorized the transfer, and notified the bank, the Sheriff's Department and the city manager of a possible fraud.
While she was investigating the first transfer, Avilla discovered a second unauthorized transfer in the amount of $358,500 to Broadbase Financial in Detroit. The second transfer was issued that morning.
The city's bank was able to freeze the entire amount of the second transfer and half of the first, Avilla said. The remainder has been moved to several different accounts, which investigators are still tracking.
The frozen assets will be returned to the city, while insurance will cover any loss.
"There won't be any loss to us either way," Avilla said. "Hopefully, there's going to be someone prosecuted."
Sheriff's Capt. Todd Rogers said one of his fraud detectives is following leads in the theft. At this point, he said, there is no indication that any city employees were involved in the theft.
The first sign that something was amiss came two days before the thefts were discovered, when Avilla was unable to log into the city's account on the bank's Web site. The bank informed her that the passwords had been changed the previous Sunday, when Avilla does not work. Avilla changed the passwords again, but that did not prevent the hackers from accessing the city's account.
The city's security consultants believe that the thieves used a wireless Internet connection to install a "Trojan horse" spyware program on a city laptop. The program logged keystrokes, and thus was able to swipe the city's passwords.
Avilla said the city's account has since been locked, and that, to make a payment, she has to send a fax to the bank. The bank also has installed new security measures that allow transactions only from authorized computers.
The city's computer specialist is also looking at updated anti-virus software, but the city has not restricted the use of laptops or wireless Internet connections.
"I'm feeling really glad that we were able to catch this right away and not let too much time go by," Mayor Jim Dear said. "The recovery looks imminent, and that's good news for us."
For some reason, the thieves left about $200,000 in the city's account.
Gene Maddaus can be reached at gene.maddaus@dailybreeze.com.
City officials uncover general fund break-in, recover cash.
By Gene Maddaus, Staff writer
Article Launched: 05/30/2007 10:16:26 PM PDT
CARSON - Computer hackers broke into the city of Carson's general fund account and stole $450,000, the city revealed Wednesday.
Investigators believe the thieves were able to access the account by using a spyware program to steal passwords from a city-owned laptop computer, Treasurer Karen Avilla said.
Avilla notified the city's bank upon discovering the theft. The bank was able to freeze 90 percent of the money. Sheriff's deputies and Secret Service agents are still trying to track down the other $45,000.
The money was stolen in two wire transfers. Avilla said she noticed the first transfer, in the amount of $90,500, last Thursday. The money had been transferred the previous day to an account in North Carolina, according to a sheriff's report.
Avilla had not authorized the transfer, and notified the bank, the Sheriff's Department and the city manager of a possible fraud.
While she was investigating the first transfer, Avilla discovered a second unauthorized transfer in the amount of $358,500 to Broadbase Financial in Detroit. The second transfer was issued that morning.
The city's bank was able to freeze the entire amount of the second transfer and half of the first, Avilla said. The remainder has been moved to several different accounts, which investigators are still tracking.
The frozen assets will be returned to the city, while insurance will cover any loss.
"There won't be any loss to us either way," Avilla said. "Hopefully, there's going to be someone prosecuted."
Sheriff's Capt. Todd Rogers said one of his fraud detectives is following leads in the theft. At this point, he said, there is no indication that any city employees were involved in the theft.
The first sign that something was amiss came two days before the thefts were discovered, when Avilla was unable to log into the city's account on the bank's Web site. The bank informed her that the passwords had been changed the previous Sunday, when Avilla does not work. Avilla changed the passwords again, but that did not prevent the hackers from accessing the city's account.
The city's security consultants believe that the thieves used a wireless Internet connection to install a "Trojan horse" spyware program on a city laptop. The program logged keystrokes, and thus was able to swipe the city's passwords.
Avilla said the city's account has since been locked, and that, to make a payment, she has to send a fax to the bank. The bank also has installed new security measures that allow transactions only from authorized computers.
The city's computer specialist is also looking at updated anti-virus software, but the city has not restricted the use of laptops or wireless Internet connections.
"I'm feeling really glad that we were able to catch this right away and not let too much time go by," Mayor Jim Dear said. "The recovery looks imminent, and that's good news for us."
For some reason, the thieves left about $200,000 in the city's account.
Gene Maddaus can be reached at gene.maddaus@dailybreeze.com.
mercredi 30 mai 2007
Près de 160 000 ordinateurs ont été infectés par MPack selon PandaLabs - Publi-News
Près de 160 000 ordinateurs ont été infectés par MPack selon PandaLabs - Publi-News
Un exploit détecté par NanoScan (http://www.pandasoftware.fr/infectedornot/), l'analyseur en ligne de Panda Software, a mis PandaLabs sur la trace de MPack. Ce programme est utilisé pour télécharger des malwares sur des ordinateurs distants en exploitant plusieurs vulnérabilités. MPack a déjà été utilisé à plusieurs reprises. PandaLabs a eu accès à plusieurs versions dont une qui a servi à infecter 160 000 ordinateurs.
Ces données proviennent du module de statistiques inclus dans l'application. Les cyber-criminels peuvent ainsi savoir combien d'ordinateurs ont été infectés et consulter les données concernant les ordinateurs attaqués, en les regroupant par système d'exploitation ou par navigateur. Ils disposent également de statistiques sur l'efficacité des infections par région géographique.MPack est vendu sur les forums en ligne pour 700 $ environ. Les créateurs offrent un an de support gratuit avec chaque version. "MPack offre les mêmes types de services que des programmes licites, par exemple, des mises à jour. Les mises à jour de MPack sont de nouvelles versions de l'application comprenant de nouveaux exploits pour profiter des dernières vulnérabilités découvertes. Une nouvelle mise à jour est disponible tous les mois en moyenne et coûte entre 50 et 150 $.", explique Luis Corrons, le directeur technique de PandaLabs.Pour 300 $, les clients peuvent obtenir DreamDownloader en supplément. Ce deuxième outil sert à créer des chevaux de Troie de type "Downloader" (qui servent à télécharger d'autres malwares). DreamDownloader fonctionne de la façon suivante. Le pirate donne à DreamDownloader l'adresse à laquelle est hébergé le malware (un cheval de Troie, un ver, une mise à jour de malware, etc.) et l'utilitaire génère automatiquement un exécutable pour le télécharger."Ces deux outils sont complémentaires. Le premier permet d'infecter les ordinateurs avec le malware de son choix. Le deuxième permet de créer le malware, conçu pour télécharger d'autres codes malicieux.", ajoute Luis Corrons.
Attaques de MPack
MPack infecte les ordinateurs discrètement. Les cyber-criminels utilisent diverses techniques afin que les utilisateurs exécutent le code malicieux. Dans le cas des serveurs Web, les piratent ajoutent généralement dans les pages une balise de type iframe (non visible par l’utilisateur) qui charge la page sur laquelle MPack est installé.
Ils utilisent parfois le même site piraté pour héberger MPack ou d'autres malwares. Les cyber-criminels hébergent les malwares sur des serveurs tiers pour éviter que l'on ne retrouve leurs traces.
Une autre technique d'infection utilisée est l'insertion sur les pages Web de mots clés souvent recherchés. De cette façon, lorsque les pages sont indexées par les moteurs de recherche, les utilisateurs qui recherchent ces mots-clés peuvent se retrouver sur la page contenant MPack et se faire infecter.
Une autre technique est d'acheter des domaines avec des noms proches de ceux de sites web renommés, par exemple "gookle", en référence au fameux navigateur Internet Google. Les utilisateurs qui se trompent seulement d'un caractère en entrant le nom du navigateur peuvent ainsi se faire infecter.
Enfin, le spam est un autre moyen utilisé par les pirates. Les messages de spam contiennent un lien et utilisent des techniques d'ingénierie sociale pour inciter les utilisateurs à cliquer dessus.
Une fois parvenu sur l'ordinateur, l'exploit s'exécute et recueille des données sur l'ordinateur infecté : navigateur, système d'exploitation, etc. Ces informations sont ensuite envoyées à un serveur sur lequel elles sont stockées.
PandaLabs a publié une étude complète sur MPack (en anglais), elle est accessible à l'adresse http://blogs.pandasoftware.com/blogs/images/PandaLabs/2007/05/11/MPack.pdf.
Panda Software met à la disposition des utilisateurs qui souhaitent vérifier si leur ordinateur a été infecté par ces menaces ou par d'autres codes malicieux, ses analyseurs gratuits en ligne, la bêta de NanoScan ou TotalScan, à l'adresse : http://www.pandasoftware.fr/infectedornot/.
Depuis 1990, la mission de PandaLabs est d’analyser les nouvelles menaces le plus rapidement possible pour assurer une totale sécurité à nos clients. Plusieurs équipes, spécialisées dans chaque type spécifique de malware (virus, vers, chevaux de Troie, logiciels espions, phishing, spam, rootkits, etc.) travaillent 24 heures sur 24 et 7 jours sur 7 pour offrir une garantie maximale. Pour cela, elles s’appuient sur les Technologies TruPrevent™, un véritable système global d’alertes, basé sur des sondes distribuées stratégiquement et qui permettent de neutraliser les nouvelles menaces et de les envoyer au plus tôt à PandaLabs pour analyse. Selon AvTest.org, PandaLabs est le laboratoire de virus qui offre des mises à jour complètes dans les délais les plus brefs. Plus d’informations à l’adresse www.pandasoftware.com/pandalabs et sur le blog de PandaLabs :
http://blogs.pandasoftware.com/blogs/pandalabs/.
Un exploit détecté par NanoScan (http://www.pandasoftware.fr/infectedornot/), l'analyseur en ligne de Panda Software, a mis PandaLabs sur la trace de MPack. Ce programme est utilisé pour télécharger des malwares sur des ordinateurs distants en exploitant plusieurs vulnérabilités. MPack a déjà été utilisé à plusieurs reprises. PandaLabs a eu accès à plusieurs versions dont une qui a servi à infecter 160 000 ordinateurs.
Ces données proviennent du module de statistiques inclus dans l'application. Les cyber-criminels peuvent ainsi savoir combien d'ordinateurs ont été infectés et consulter les données concernant les ordinateurs attaqués, en les regroupant par système d'exploitation ou par navigateur. Ils disposent également de statistiques sur l'efficacité des infections par région géographique.MPack est vendu sur les forums en ligne pour 700 $ environ. Les créateurs offrent un an de support gratuit avec chaque version. "MPack offre les mêmes types de services que des programmes licites, par exemple, des mises à jour. Les mises à jour de MPack sont de nouvelles versions de l'application comprenant de nouveaux exploits pour profiter des dernières vulnérabilités découvertes. Une nouvelle mise à jour est disponible tous les mois en moyenne et coûte entre 50 et 150 $.", explique Luis Corrons, le directeur technique de PandaLabs.Pour 300 $, les clients peuvent obtenir DreamDownloader en supplément. Ce deuxième outil sert à créer des chevaux de Troie de type "Downloader" (qui servent à télécharger d'autres malwares). DreamDownloader fonctionne de la façon suivante. Le pirate donne à DreamDownloader l'adresse à laquelle est hébergé le malware (un cheval de Troie, un ver, une mise à jour de malware, etc.) et l'utilitaire génère automatiquement un exécutable pour le télécharger."Ces deux outils sont complémentaires. Le premier permet d'infecter les ordinateurs avec le malware de son choix. Le deuxième permet de créer le malware, conçu pour télécharger d'autres codes malicieux.", ajoute Luis Corrons.
Attaques de MPack
MPack infecte les ordinateurs discrètement. Les cyber-criminels utilisent diverses techniques afin que les utilisateurs exécutent le code malicieux. Dans le cas des serveurs Web, les piratent ajoutent généralement dans les pages une balise de type iframe (non visible par l’utilisateur) qui charge la page sur laquelle MPack est installé.
Ils utilisent parfois le même site piraté pour héberger MPack ou d'autres malwares. Les cyber-criminels hébergent les malwares sur des serveurs tiers pour éviter que l'on ne retrouve leurs traces.
Une autre technique d'infection utilisée est l'insertion sur les pages Web de mots clés souvent recherchés. De cette façon, lorsque les pages sont indexées par les moteurs de recherche, les utilisateurs qui recherchent ces mots-clés peuvent se retrouver sur la page contenant MPack et se faire infecter.
Une autre technique est d'acheter des domaines avec des noms proches de ceux de sites web renommés, par exemple "gookle", en référence au fameux navigateur Internet Google. Les utilisateurs qui se trompent seulement d'un caractère en entrant le nom du navigateur peuvent ainsi se faire infecter.
Enfin, le spam est un autre moyen utilisé par les pirates. Les messages de spam contiennent un lien et utilisent des techniques d'ingénierie sociale pour inciter les utilisateurs à cliquer dessus.
Une fois parvenu sur l'ordinateur, l'exploit s'exécute et recueille des données sur l'ordinateur infecté : navigateur, système d'exploitation, etc. Ces informations sont ensuite envoyées à un serveur sur lequel elles sont stockées.
PandaLabs a publié une étude complète sur MPack (en anglais), elle est accessible à l'adresse http://blogs.pandasoftware.com/blogs/images/PandaLabs/2007/05/11/MPack.pdf.
Panda Software met à la disposition des utilisateurs qui souhaitent vérifier si leur ordinateur a été infecté par ces menaces ou par d'autres codes malicieux, ses analyseurs gratuits en ligne, la bêta de NanoScan ou TotalScan, à l'adresse : http://www.pandasoftware.fr/infectedornot/.
Depuis 1990, la mission de PandaLabs est d’analyser les nouvelles menaces le plus rapidement possible pour assurer une totale sécurité à nos clients. Plusieurs équipes, spécialisées dans chaque type spécifique de malware (virus, vers, chevaux de Troie, logiciels espions, phishing, spam, rootkits, etc.) travaillent 24 heures sur 24 et 7 jours sur 7 pour offrir une garantie maximale. Pour cela, elles s’appuient sur les Technologies TruPrevent™, un véritable système global d’alertes, basé sur des sondes distribuées stratégiquement et qui permettent de neutraliser les nouvelles menaces et de les envoyer au plus tôt à PandaLabs pour analyse. Selon AvTest.org, PandaLabs est le laboratoire de virus qui offre des mises à jour complètes dans les délais les plus brefs. Plus d’informations à l’adresse www.pandasoftware.com/pandalabs et sur le blog de PandaLabs :
http://blogs.pandasoftware.com/blogs/pandalabs/.
mardi 29 mai 2007
Logiciel pour déjouer les fraudeurs
Logiciel pour déjouer les fraudeurs
Parmi tous les risques sécuritaires sur internet figure le détournement de mot de passe.
Key Scrambler est une extension pour Firefox qui intervient quand on se trouve sur une page qui requiert une authentification (vers un compte bancaire, par exemple).
Chaque caractère frappé est crypté entre le clavier et le navigateur. Scramble signifie “brouiller” en anglais.
Il existe une version libre et une version pro (25 dollars).
Parmi tous les risques sécuritaires sur internet figure le détournement de mot de passe.
Key Scrambler est une extension pour Firefox qui intervient quand on se trouve sur une page qui requiert une authentification (vers un compte bancaire, par exemple).
Chaque caractère frappé est crypté entre le clavier et le navigateur. Scramble signifie “brouiller” en anglais.
Il existe une version libre et une version pro (25 dollars).
Inscription à :
Articles (Atom)