Les arnaques aux cryptomonnaies sont aujourd’hui une part intégrale des réseaux sociaux, à l’image des messages frauduleux envoyés massivement et quotidiennement aux utilisateurs de Twitter. Un rapport publié mardi 6 juin par l’entreprise spécialisée en sécurité informatique Trend Micro lève le voile sur un acteur russophone ayant industrialisé la fraude aux cryptomonnaies.
L’arnaque en elle-même est très connue : elle consiste à faire croire à sa victime qu’on lui offre une somme attrayante en bitcoins ou autres monnaies sur une plate-forme. Une fois inscrite, la cible de cette fraude ne peut cependant pas retirer les fonds avant d’avoir effectué un dépôt. L’argent va généralement dans la poche du gestionnaire de l’arnaque, et la victime ne perçoit jamais les fonds qu’on lui avait promis.
L’acteur identifié par Trend Micro, baptisé « Impulse Team », est actif depuis au moins 2021 sur des forums de discussion cybercriminels russophones. Il propose à ses clients de les aider à monter rapidement et gérer facilement les fausses plates-formes de cryptomonnaies utilisées pour piéger leurs victimes. Une fois qu’il a créé un ou plusieurs noms de domaine, l’arnaqueur s’enregistre auprès d’Impulse, moyennant une rémunération que Trend Micro n’est pas parvenu à déterminer. Chaque affilié peut ainsi gérer ses sites depuis un portail unique, suivre les dépôts faits par les victimes sur des porte-monnaie de crypto générés par « Impulse Team », gagnant ainsi énormément de temps dans la gestion de l’infrastructure dédiée à ses opérations.
Un portail pour surveiller chaque dépôt de victime
Cette nouvelle étude démontre la division des tâches très efficace qui a cours dans les différents milieux cybercriminels. Des attaques par rançongiciel aux vols de données bancaires, ces secteurs fonctionnent souvent grâce à la vente de services souterrains commercialisés par des pirates ou groupes de pirates spécialisés dans des tâches spécifiques : développement, réseaux de faux comptes, vente de données personnelles ou encore intrusion dans des systèmes informatiques ciblés.
Au cours de leur enquête, les chercheurs de Trend Micro ont ainsi identifié plus d’un millier de sites utilisés pour ce type de fraude aux cryptomonnaies en lien avec Impulse Team. « Les variations dans les méthodes utilisées pour ces enregistrements [de noms de domaines] nous permettent d’estimer à environ une trentaine le nombre d’affiliés », c’est-à-dire de clients d’Impulse Team, explique au Monde Cédric Pernet, expert pour Trend Micro.
L’infrastructure de ce gestionnaire d’arnaques ne comprend cependant pas d’outils de blanchiment de cryptomonnaies, ni de réseaux servant à cibler les victimes. Comme le pointe le rapport, chaque « affilié » doit ensuite mener sa propre campagne d’arnaque, par exemple en créant des réseaux de faux comptes sur les réseaux sociaux. Au cours de leur enquête, les chercheurs de Trend Micro ont ainsi découvert des méthodes différentes selon les « affiliés », allant des messages envoyés sur Twitter à des publicités sur TikTok. Dans un cas, ils ont même découvert une fausse version de Scamdoc, un site souvent utilisé par les internautes pour juger de la fiabilité d’un nom de domaine et éviter les arnaques. Cette fausse version notait comme fiables des sites en réalité conçus pour du vol de cryptomonnaies.
Il est difficile, sans avoir accès aux porte-monnaie utilisés par Impulse et ses affiliés, de chiffrer les sommes dérobées ainsi aux victimes des clients de la structure. Sur un canal de discussion Telegram, Impulse Team diffuse automatiquement depuis décembre 2022 les montants versés sur chaque plate-forme de ce vaste réseau, mais Trend Micro soupçonne fortement que ces montants aient été trafiqués par le ou les opérateurs, afin d’attirer davantage de nouveaux cybercriminels dans le programme.