Comment les cybercriminels gagnent-ils de l’argent ? L’une des techniques les plus connues est de vendre vos données personnelles. Mais contrairement à ce que vous pourriez penser, cela ne leur rapporte pas énormément d’argent, explique José Otero, responsable technique en cybersécurité chez Sopra Steria Espagne.
Ces derniers mois, le secteur bancaire a été la cible d’une série de cyberattaques à grande échelle, suscitant des inquiétudes dans les institutions financières et chez leurs clients. Les systèmes de sécurité ont beau se renforcer, ils peuvent ne pas être assez efficaces face aux attaques qui deviennent elles aussi plus sophistiquées, menaçant ainsi les données financières et personnelles de millions d’utilisateurs.
Cette année, certains incidents notables ont eu lieu. Par exemple, en avril, un groupe de cybercriminels est parvenu à infiltrer le système d’une des principales banques européennes et à voler des données sensibles de plus d’un demi-million de clients. Pour accéder à ces informations, les attaquants ont utilisé des techniques avancées de phishing afin d’obtenir les identifiants des employés, ce qui leur a permis de pénétrer dans différents sous-réseaux internes de l’institution.
Ces informations leur permettent de gagner de l’argent. Ils peuvent, par exemple, les vendre sur le marché noir ou les utiliser pour commettre des fraudes, usurper des identités ou accéder aux comptes bancaires et informations de cartes de crédit.
Mais comment éviter que cela arrive à votre entreprise ? Car, au-delà des banques, tous les secteurs peuvent être touchés par ces techniques de phishing. Pour vous protéger, il est important de vous entourer des bons partenaires. C’est là qu’interviennent les entreprises spécialisées comme Sopra Steria.
Avec les récentes acquisitions de CS Group, Ordina et Tobania, Sopra Steria a renforcé ses capacités en cybersécurité pour offrir des solutions robustes. Confier la gestion des menaces à des experts capables de les neutraliser efficacement permettra aux dirigeants de se focaliser sur d’autres enjeux.
Des techniques élaborées pour une poignée de dollars
Les cybercriminels utilisent différentes méthodes pour récupérer vos données.
Parmi les techniques les plus courantes figure le phishing, qui consiste à envoyer des emails frauduleux paraissant légitimes. Ces messages visent souvent les employés et les incitent à divulguer leurs mots de passe ou d’autres informations sensibles.
Cette pratique, bien qu’étant la plus connue, n’est pas la seule. Vous pouvez également devenir la cible des ransomwares. Ce sont des logiciels malveillants qui cryptent les données de l’entité pour ensuite exiger une rançon en échange de leur restitution.
On peut également être confrontés à des attaques DDoS (Déni de service distribué) qui consistent à envoyer une quantité massive de requêtes aux serveurs ciblés, saturant ainsi les systèmes informatiques.
Enfin, de nombreux cybercriminels analysent des logiciels ou du matériel pour identifier des vulnérabilités inconnues des fabricants eux-mêmes. Ils peuvent ainsi infiltrer les systèmes avant la publication des correctifs et des mises à jour de sécurité.
Une fois que les informations ont été récupérées, les criminels se tournent vers le dark web (un réseau accessible uniquement via des navigateurs spécialisés), pour échanger ces données volées sur le marché noir. Dans cet environnement opaque, où toutes les communications sont cryptées de bout en bout et où il est presque impossible de tracer les adresses IP, ces activités criminelles prospèrent aisément.
Des prix variables
Sur ces forums obscurs, les prix varient selon l’utilité et l’attrait des données.
Par exemple, des données de carte bancaire se vendent entre 5 et 110 dollars, selon le plafond de crédit et la qualité des informations associées. De la même manière, l’accès à des comptes bancaires coûte entre 200 et 2000 dollars, en fonction du solde disponible et de la banque émettrice.
Pire, une identité complète peut être achetée pour moins de 100 dollars. Inclus dans ces ensembles de données nommés « fullz » : le nom, l’adresse, le numéro de sécurité sociale, la date de naissance, etc.
Et cela ne s’arrête pas là, les identifiants d’accès à des comptes et services en ligne (email, services de streaming ou e-commerce) se négocient entre 1 et 50 dollars.
Aujourd’hui, alors que notre identité numérique est une extension de notre identité réelle, il est primordial de ne pas oublier l’importance de la protection numérique. Nous devons adopter et promouvoir des pratiques sûres à la fois dans le cadre professionnel mais également dans notre quotidien. Faute de quoi nos informations les plus sensibles pourraient être exposées et vendues pour une simple poignée de dollars.