Personne n’est l’abri d’une arnaque en ligne, pas mme ceux qui l’organisent. Une nouvelle recherche du groupe Sophos X-Ops, spcialiste de la cyberscurit, rvle que les cybercriminels qui utilisent les forums de piratage pour acheter des logiciels d’exploitation et des identifiants de connexion vols se font galement avoir et se font souvent arnaquer de plusieurs milliers de dollars. De plus, lorsque les cybercriminels se plaignent d’tre arnaqus, ils laissent galement une trane d’informations personnelles qui pourraient rvler leur identit relle la police et aux enquteurs.
Les cybercriminels se runissent souvent sur des forums pour faire des affaires entre eux. Ils peuvent annoncer des initiatives venir pour lesquels ils ont besoin d’aide, vendre des bases de donnes contenant des mots de passe et des informations sur les cartes de crdit vols, ou encore vanter les mrites de nouvelles failles de scurit pouvant tre utilises pour s’introduire dans les appareils ou dans les systmes des utilisateurs. Cependant, ces transactions ne se droulent pas toujours comme prvu.
La nouvelle recherche, publie par la socit de cyberscurit Sophos X-Ops, examine ces transactions rates et les plaintes dposes par les gens leur sujet. Les arnaqueurs qui escroquent dautres arnaqueurs sur les forums sont beaucoup plus nombreux que nous ne le pensions au dpart , explique Matt Wixey, chercheur chez Sophos X-Ops.
Sophos X-Ops enquter sur les arnaqueurs qui escroquent dautres arnaqueurs sur trois forums de cybercriminalit de premier plan – une recherche qui, selon eux, n’a jamais t effectue auparavant. Voici, ci-dessous, quelques dcouvertes ralises par les chercheurs de Sophos X-Ops :
- C’est un gros business – une sous-conomie en soi : au cours des 12 derniers mois, les cybercriminels ont perdu plus de 2,5 millions de dollars, rien que sur ces trois forums. En fait, il s’agit d’un problme si ancien et si important que les administrateurs des forums ont cr des salles d’arbitrage pour que les utilisateurs puissent signaler les escroqueries, les attaques et les cybercriminels ;
- L’argent n’est pas la seule motivation, et les acteurs de la menace ne sont pas les seuls tre impliqus : des querelles personnelles, des rivalits et la volont de dtruire (ou parfois d’amliorer) des rputations peuvent donner lieu des arnaques ;
[*]Les attaques vont au-del de l’habituel rip-and-run : Sophos X-Ops dclare avoir vu des escroqueries par recommandation, de fausses fuites de donnes et de faux outils, du typosquattage, du phishing, des escroqueries par alt rep (l’utilisation de sockpuppets pour gonfler artificiellement les scores de rputation), de faux garants, du chantage, des comptes usurps et des logiciels malveillants dissimuls ; - Sophos X-Ops a trouv des exemples de fraude grande chelle : l’une des plus grandes surprises est venue lorsquelle a creus dans cette imitation du site Genesis. Sophos X-Ops rvle avoir dcouvert dix-neuf autres sites, tous crs par la mme personne ou le mme groupe, tous imitant des places de march criminelles et tous destins inciter les utilisateurs payer des frais d’activation de 100 dollars.
Les rapports darnaque sont une source de renseignements riche et sous-explore. Les acteurs de la menace savent que les forums criminels sont surveills et, par consquent, ils mettent souvent en place une bonne scurit. Comme les rgles des forums exigent des preuves pour tayer les allgations darnaque, les acteurs de la menace lss sont souvent heureux de publier des captures d’cran de conversations prives et de code source, des identifiants, des transactions, des journaux de discussion et des comptes-rendus dtaills de ngociations, de ventes et de dpannage.
Cette sous-conomie cache n’est pas seulement une curiosit. Elle donne un aperu de la culture des forums, de la manire dont les acteurs de la menace achtent et vendent, de leurs priorits tactiques et stratgiques, de leurs rivaux et alliances, de leur sensibilit la tromperie, ainsi que des renseignements spcifiques et discrets les concernant.
Au cours des prochaines semaines, nous partagerons les rsultats de notre enqute approfondie sur ce sujet, en commenant par une vue d’ensemble des forums concerns, de la manire dont ils traitent les escroqueries, de qui escroque qui, et de la taille de la sous-conomie.
Les escroqueries se prsentent sous de multiples formes. Certaines sont simples, d’autres sont plus sophistiques. Selon Wixey, les escroqueries de type « rip-and-run » sont frquentes : l’acheteur ne paie pas ce qu’il a reu ou le vendeur reoit l’argent mais n’envoie pas ce qu’il a vendu. (D’autres types d’escroqueries consistent falsifier des donnes ou exploiter des failles de scurit qui ne fonctionnent pas : Sur BreachForums, une personne a affirm qu’un vendeur avait essay de lui envoyer des donnes Facebook qui taient dj publiques.
Lors d’un incident extrme sur le forum Exploit, un utilisateur a post une plainte selon laquelle il avait fourni quelqu’un un exploit pour le noyau Windows et n’avait pas t pay les 130 000 dollars prvus. L’acheteur a dit qu’il paierait une fois qu’il aurait test le logiciel, mais il n’a jamais vers l’argent. chaque tape, il a donn diffrentes excuses pour retarder le paiement .
Dans certaines escroqueries, plusieurs comptes ou personnes semblaient travailler ensemble, selon l’tude. Un utilisateur ayant une bonne rputation peut prsenter une personne une autre. Ce complice dirige alors la victime vers un site Web d’escroquerie. Dans un cas, explique Wixey, un utilisateur voulait acheter une fausse copie du jeu Axie Infinity, ax sur le NFT. Ils voulaient une fausse copie de ce jeu dans le but de siphonner les fonds d’un utilisateur lgitime , explique Wixey. Ils ont achet cette fausse copie quelqu’un d’autre, et la fausse copie contenait une porte drobe qui a ensuite vol la cryto prcdemment vole.
Bien qu’il ne devrait pas tre surprenant que les criminels essaient souvent de s’escroquer les uns les autres – il n’y a pas d’honneur parmi les cybercriminels, aprs tout – la recherche montre quel point cela est rpandu. En 2017, la socit de scurit Digital Shadows a signal une base de donnes qui avait t cre pour nommer et faire honte aux arnaqueurs connus.
De mme, en 2021, la firme a dcouvert que certains administrateurs de forums sur la cybercriminalit arnaquent leurs propres clients. Selon la socit de renseignement sur les menaces, Analyst1, au cours de la dernire dcennie, des milliers de plaintes ont t dposes contre des criminels qui s’escroquent mutuellement. Paralllement, une analyse prcdente de TrendMicro a conclu que si les forums et les marchs ont des rgles, celles-ci ne dissuadent pas les arnaqueurs. Les auteurs sont gnralement ceux qui privilgient les profits rapides la rputation , indique la recherche 2019 de la firme.
On peut soutenir que l’arnaque la plus organise que Sophos a repre dcoule d’une enqute sur la plateforme Genesis, qui est en ligne depuis 2017 et vend des dtails de connexion d’htels, des cookies et des accs aux donnes de systmes compromis. Lors de ses recherches sur Genesis, Sophos a dcouvert une version falsifie du site Web apparaissant en bonne place dans les rsultats de recherche de Google. C’est un cas vraiment bizarre, dclare Wixey. C’tait un modle WordPress vraiment basique et il demandait de l’argent, alors que le vrai Genesis est uniquement sur invitation.
Un rsum de 12 mois de rapports d’escroquerie (les montants en USD)
En plus de ne pas ressembler la plateforme officielle de Genesis, la version truque prsentait d’autres dtails inquitants : elle tait lie un autre site Web de cybercriminalit, l’adresse Bitcoin laquelle les gens pouvaient effectuer des paiements changeait lorsque quelqu’un cliquait sur le bouton copier-coller du site Web.
Selon Wixey, ces signes indiquaient que le faux site pouvait tre un effort coordonn . Grce aux dtails du faux site Web de Genesis, y compris des parties du texte et des adresses de crypto-monnaies, les chercheurs ont dcouvert 20 sites Web qui semblent tous tre relis et grs par le mme groupe ou individu. Les sites Web se ressemblent tous et ont t enregistrs entre aot 2021 et juin 2022 – huit d’entre eux seraient encore actifs.
Selon Wixey, la quasi-totalit de ces sites imitent tentent d’inciter les gens payer pour y accder. L’arnaque semble bien fonctionner. Selon le chercheur, les adresses Bitcoin payes par les sites d’escroquerie ont reu collectivement 132 000 dollars, bien qu’il soit prudent de dire que l’argent peut provenir entirement des faux sites Web. Sophos semble avoir trouv un utilisateur menaant qui pourrait tre l’origine de ces sites, un acteur connu sous le nom de « waltcranston ». Parmi plusieurs informations reliant ce pseudonyme aux sites, une personne portant ce nom d’utilisateur a affirm avoir cr les faux marchs sur un autre forum.
tant donn que les personnes qui se plaignent d’arnaques doivent publier des preuves pour tayer leurs affirmations, elles partagent souvent des captures d’cran contenant plus d’informations personnelles qu’elles ne l’auraient souhait. Sophos dit avoir vu un « trsor » de donnes, notamment des adresses de cryptomonnaies, des identifiants de transaction, des adresses lectroniques, des noms de victimes, certains codes sources de logiciels malveillants et d’autres informations. Tous ces dtails peuvent permettre de dcouvrir plus d’informations sur les personnes qui se cachent derrire les noms d’utilisateur ou fournir des indices sur leur mode de fonctionnement.
Dans une plainte pour escroquerie, un utilisateur a partag une capture d’cran montrant les noms d’utilisateur Telegram, les adresses lectroniques, les noms de chat Jabber, ainsi que les noms d’utilisateur Skype et Discord d’une personne. Dans d’autres, les adresses IP et les pays o les utilisateurs peuvent tre situs sont affichs. Les captures d’cran rvlent les logiciels utiliss, ainsi que les sites Web visits et des dtails sur la configuration de l’ordinateur.
Les cybercriminels, de par la nature de leurs activits, sont gnralement trs prudents lorsqu’il s’agit de partager des informations susceptibles de les identifier. Ils n’utilisent pas leur vrai nom, mais plutt des services d’anonymisation tels que Tor. Pour lenqute, Sophos X-Ops a examin les arnaques sur deux des plus anciens et des plus importants forums de cybercriminalit en langue russe, Exploit et XSS. Elle a galement inclus les arnaques de BreachForums, le successeur de RaidForums, lanc en avril 2022.
Les forums d’arnaques
Exploit est relativement exclusif et est une plateforme populaire pour les annonces d’accs en tant que service (AaaS), o les courtiers en accs initial (IAB) vendent l’accs des rseaux compromis. Les acteurs de la menace y achtent et vendent galement beaucoup d’autres contenus illicites : logiciels malveillants, fuites de donnes, journaux d’informateurs, informations d’identification, etc. Historiquement, les groupes et les affilis de cybercriminels frquentaient Exploit, bien que cela soit devenu plus secret aprs l’attaque Colonial Pipeline en 2021, lorsquExploit et XSS ont publiquement interdit les discussions sur les ranongiciels pour viter toute attention ngative.
Aujourd’hui, le recrutement d’affilis se poursuit sur les deux forums, bien qu’il tende se faire sous couvert d’euphmismes tels que « pentesters ». XSS, anciennement connu sous le nom de DaMaGeLaBs, est galement bien tabli, bien que l’adhsion soit moins exclusive que celle d’Exploit. Il hberge galement de nombreuses listes d’AaaS et divers autres contenus.
Enfin, BreachForums est le successeur de RaidForums, une plateforme qui a fonctionn pendant sept ans avant d’tre saisie par les forces de l’ordre au dbut de l’anne 2022. Comme RaidForums, BreachForums est un forum et une plateforme spcialise dans les fuites de donnes, notamment les donnes personnelles, les cartes de crdit, les informations d’identification et les documents d’identit. Ces trois sites disposent de zones d’arbitrage ddies – Exploit (avec environ 2500 escroqueries signales) et XSS (avec environ 760) en ont depuis le milieu des annes 2000, et BreachForums depuis sa cration en avril 2022. D’autres plateformes comme Verified, en possdent galement.
S’il y a une chose retenir de tout cela, c’est qu’aucun utilisateur n’est l’abri ; bien que des mesures proactives (avertissements, plugins, garants) et ractives aient t mises en place, les cybercriminels sont non seulement au courant, mais – en juger par les donnes de Sophos X-Ops, l’une des raisons de leur succs est la diversit mme des arnaques qu’ils proposent.
Source : Sophos
Et vous ?
Quel est votre vais sur le sujet ?
Comment cette ralit affecte-t-elle l’cosystme du numrique ?
Quelle est selon vous, l’intrt des rsultats de la recherche effectus par Sophos ?
Voir aussi :