Une vaste campagne de cyberattaques dvastatrices en cours depuis au moins l’anne dernire aurait permis aux acteurs de la menace de drober des millions de dollars leurs victimes. Cette vague de cyberattaques, combinant des techniques d’ingnierie sociale et l’exploitation de codes d’accs usage unique (OTP), serait mene par l’intermdiaire d’une plateforme appele « Estate » base aux Pays-Bas. Les attaquants rcuprent les codes OTP en exploitant la crdulit de leurs victimes et se livrent ensuite un vol paralysant qui peut priver dfinitivement une personne de la totalit des fonds de son compte bancaire ou de son compte de retraite.
Un service en ligne appel Estate permet aux cybercriminels de mener des cyberattaques
La stratgie du groupe de pirates Estate repose sur une technique simple, mais d’une efficacit redoutable : l’interception de codes d’accs usage unique. Un code d’accs usage unique (one-time password – OTP) est une squence de caractres numriques ou alphanumriques gnre automatiquement qui permet d’authentifier un utilisateur pour une seule connexion ou transaction. Ils sont conus pour renforcer la scurit grce l’authentification multifactorielle (2FA). Mais Estate utilise des techniques avances d’ingnierie sociale ou des appels tlphoniques automatiss pour obtenir les codes OTP.
Estate est en activit depuis un certain temps. Jusqu’ rcemment, les experts en cyberscurit n’taient pas en mesure de dterminer o se trouve ce gang de cybercriminels ni surtout qui en est l’instigateur. Mais un bogue dans le code d’Estate a expos la base de donnes du site, qui n’tait pas chiffre, rvlant de nombreuses informations prcieuses. Elle contient notamment des informations sur le fondateur du site et ses membres, ainsi que des journaux ligne par ligne de chaque attaque depuis le lancement du site, y compris les numros de tlphone des victimes qui ont t cibles, quel moment et par quel membre.
Elle donne un rare aperu du fonctionnement d’une opration d’interception de codes OTP. Les services comme Estate font la publicit de leurs offres sous le couvert d’un service ostensiblement lgitime permettant aux praticiens de la scurit de tester la rsistance aux attaques d’ingnierie sociale. Mais ils tombent dans un espace juridique flou parce qu’ils permettent leurs membres d’utiliser ces services pour des cyberattaques dvastatrices. Par le pass, les autorits ont poursuivi des oprateurs de sites similaires ddis l’automatisation de cyberattaques pour avoir fourni leurs services des cybercriminels.
Cela entrane, sans surprise, des difficults et des souffrances dans le rang des victimes. Pour ces derniers, l’escroquerie commence par un appel, cens provenir d’une entit de confiance, telle que l’quipe de scurit de PayPal, l’avertissant d’une activit suspecte sur son compte. Depuis la mi-2023, des centaines de membres de l’opration Estate auraient effectu des milliers d’appels automatiss pour inciter les victimes saisir des codes OTP. Invites vrifier leurs identits, les victimes fournissent maladroitement le code OTP envoy sur leurs appareils mobiles. Les pirates prennent automatiquement le contrle des appareils.
Les codes d’accs usage unique vols peuvent permettre aux pirates d’accder aux comptes bancaires, aux cartes de crdit, aux portefeuilles cryptographiques et numriques et aux services en ligne des victimes. La plupart des victimes se trouveraient aux tats-Unis. La base de donnes, analyse par Techcrunch, contient les journaux de plus de 93 000 attaques menes depuis le lancement d’Estate l’anne dernire, ciblant des victimes possdant des comptes chez Amazon, Bank of America, Capital One, Chase Bank, Coinbase, Instagram, Mastercard, PayPal, Venmo, Yahoo et bien d’autres encore. Mais ce n’est pas tout.
L’analyse de la base de donnes rvle galement que certaines des attaques sont des efforts pour dtourner des numros de tlphone en effectuant des attaques par change de cartes SIM et en menaant les victimes de les taper. Le fondateur d’Estate, un programmeur danois g d’une vingtaine d’annes, affirme qu’il n’exploite plus le site. Malgr ses efforts pour dissimuler les oprations en ligne d’Estate, le fondateur a mal configur le serveur du site, ce qui a rvl son emplacement rel dans un centre de donnes aux Pays-Bas.
La base de donnes d’Estate expose les activits malveillantes de certains de ces membres
Estate se prsente comme capable de crer des solutions OTP sur mesure qui rpondent parfaitement vos besoins et explique : notre option de script personnalis vous donne le contrle . Ses membres exploitent le rseau tlphonique mondial en se faisant passer pour des utilisateurs lgitimes afin d’accder aux fournisseurs de communications en amont. L’un de ces fournisseurs tait Telnyx. Bien qu’Estate veille ne pas utiliser un langage explicite susceptible d’inciter ou d’encourager des cyberattaques malveillantes, la base de donnes montre que le site est utilis presque exclusivement des fins criminelles.
Ce type de services constitue l’pine dorsale de l’conomie criminelle. Ils rendent les tches lentes plus efficaces. Cela signifie que davantage de personnes sont victimes d’escroqueries et de menaces. Plus de personnes ges perdent leur retraite cause de la criminalit par rapport l’poque o ces services n’existaient pas , note Allison Nixon, responsable de la recherche chez Unit 221B, une socit de cyberscurit. L’une des plus grandes campagnes sur Estate a cibl des victimes ges en partant du principe que les boomers sont plus susceptibles d’accepter un appel tlphonique non sollicit que les jeunes gnrations.
La base de donnes montre que le fondateur d’Estate est conscient que sa clientle est en grande partie constitue d’acteurs criminels, et il promet depuis longtemps le respect de la vie prive de ses membres. Nous n’enregistrons aucune donne et nous ne demandons aucune information personnelle pour utiliser nos services , indique le site Web d’Estate. Mais ce n’est pas tout fait vrai. Estate a enregistr toutes les attaques menes par ses membres, avec des dtails prcis, depuis le lancement du site la mi-2023. La base de donnes a rvl des informations qui pourraient compromettre certains de ces membres.
De plus, le fondateur du site a conserv l’accs aux journaux des serveurs, qui permettent de voir en temps rel ce qui se passe sur le serveur d’Estate tout moment, y compris chaque appel effectu par ses membres, ainsi que chaque fois qu’un membre charge une page sur le site Web d’Estate. La base de donnes montre qu’Estate conserve galement les adresses lectroniques de membres potentiels. Elle rvle que certains membres ont fait confiance la promesse d’anonymat d’Estate en laissant des fragments de leurs propres informations identifiables dans les scripts qu’ils ont crits et les attaques qu’ils ont menes.
Ces informations comprennent des adresses lectroniques et des pseudonymes en ligne. La base de donnes d’Estate contient galement les scripts d’attaque de ses membres, qui rvlent les faons spcifiques dont les attaquants exploitent les faiblesses dans la manire dont les gants de la technologie et les banques mettent en uvre les dispositifs de scurit, tels que les codes d’accs usage unique, pour vrifier l’identit des clients. Ces cyberattaques montrent que les entreprises technologiques, les banques, etc. ont encore du pain sur la planche pour assurer la scurit des utilisateurs malgr l’authentification 2FA.
La pice manquante est que les forces de l’ordre doivent arrter les acteurs criminels qui se rendent si nuisibles. De jeunes gens font dlibrment carrire dans ce domaine, parce qu’ils se persuadent qu’ils ne sont qu’une simple plateforme et qu’ils ne sont pas responsables de la criminalit facilite par leur projet. Ils esprent gagner facilement de l’argent dans l’conomie de l’escroquerie. Certains influenceurs encouragent des mthodes non thiques pour gagner de l’argent en ligne. Les forces de l’ordre doivent y mettre un terme , a dclar Nixon.
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous des techniques utilises par Estate pour obtenir les codes usage unique de leurs victimes ?
Ces campagnes de cyberattaques remettent-elles en cause l’efficacit de l’authentification deux facteurs ?
Comment les internautes non initis peuvent-ils se prmunir contre ce type de cyberattaque ?
Voir aussi