Pêche miraculeuse en Hollande et aux USA
Le correspondant Hollandais du Reg vient, coup sur coup, de relater deux affaires rondement menées par l'administration Batave. En premier lieu, la condamnation par l'Autorité de Régulation de trois entreprises jugées coupables de diffusion de spyware et de collusion avec Dollarrevenue ou des gardiens de Botnets chargés précisément de répandre les espionniciels en question. Le papier de notre confrère donne une idée assez précise de la valeur du poste zombifié en fonction de sa situation géographique : 30 centimes d'Euro l'ordinateur infecté aux USA, 20 centimes le Canadien, 10 centimes le Britannique, 1 centime le Chinois, les tarifs pouvant tomber à 0,2 centimes selon le pays. Les trois spammeurs auraient ainsi récolté près d'un million d'Euros et contaminés 22 millions de postes de travail. Quelques jours plus tard, c'était au tour de la police Hollandaise de mettre sous les verrous une filière de « mules » chargées d'expédier dans certains pays de l'Est des sommes d'argent détournées après des opération de phishing et de vol d'identité. Les principales victimes étaient clients du groupe bancaire ABN Amro. L'escroquerie reposait sur de faux sites hébergés à Hong Kong. Au total, 14 personnes ont, jusqu'à présent, été arrêtées. On ne connaît ni le nombre de victimes, ni le montant estimé des pertes, les dispositions européennes ne contraignant pas les organismes financier à une totale transparence. Ce dernier fait divers est à relier à un autre article, signé Brian Krebs, du Washington Post, lequel reprend une analyse du Gartner sur l'étendue du phishing aux Etats-Unis. Au total, ce serait plus de 3,2 milliards de dollars qui auraient été dérobés à la suite d'escroqueries en ligne de type phishing et scam. Le montant des pertes par personnes serait en légère baisse, à 886 dollars en moyenne contre 1244 dollars l'an passé, mais le volume général des attaques a très nettement progressé. 3,3 % des personnes ayant reçu des courriels d'hameçonnage ont déclaré avoir subit des préjudices financiers, contre 2,3% l'an passé. Chiffres obtenus non pas à partir des chiffres communiqués par le FBI ou la FTC, mais en interrogeant une base d'internautes de 4500 personnes. Comme le fait fort justement remarquer Krebs au fil de son article, ces données doivent être prises avec précaution, les personnes interrogées pouvant fort bien ne pas savoir faire de différence technique entre un vol ayant pour origine une opération de phishing et un vol résultant d'une perte d'identité provoquée par un keylogger ou autre spyware spécialisé. Les chiffres des organismes d'Etat mentionnés ci-dessus sont, pour leur part, considérés comme nettement sous-évalués car ne prenant en compte que les vols avérés ayant fait l'objet d'un dépôt de plainte. Or, les métriques tentant d'estimer la proportion de victimes portant ou ne portant pas plainte après une cyberescroquerie sont encore très imprécises.