Tejay Fletcher, un fumeur de cannabis de 35 ans, a t condamn 13 ans et quatre mois de prison pour avoir cr le site iSpoof.cc, qui permettait aux cybercriminels de se faire passer pour des banques ou dautres institutions en modifiant le numro ou lidentit affichs lorsquils appelaient leurs victimes. Grce ce site, Fletcher a gagn prs de 2 millions de livres sterling et men une vie de luxe, avec une Lamborghini, deux Range Rovers et une Rolex. Son site a t utilis pour plus de 10 millions dappels frauduleux au Royaume-Uni et dans le monde, causant des pertes de plus de 100 millions de livres sterling.
Plus de 200 000 victimes au Royaume-Uni, dont beaucoup taient ges, ont perdu 43 millions de livres sterling, tandis que les pertes mondiales ont dpass 100 millions de livres sterling. Fletcher a profit des profits de son site pour mener un train de vie luxueux.
Tejay Fletcher, fondateur du site web iSpoof, a t condamn 13 ans et quatre mois de prison
Fletcher avait pass son enfance dans une succession de foyers daccueil, selon son avocat. Il avait commenc sa carrire criminelle en volant des voitures et en consommant du cannabis. Son site a t utilis pour une grande partie de lactivit frauduleuse au Royaume-Uni, mais la police a fini par le coincer et le faire fermer. Cependant, des sites similaires ont pris sa place depuis, et dautres personnes continuent dtre victimes de ce type descroqueries, selon les experts. Ils ont averti que les criminels avec un site web simple pouvaient contourner la police, les oprateurs tlphoniques et les banques pour faciliter une fraude lchelle industrielle .
iSpoof.cc permettait aux cybercriminels de dguiser leurs numros de tlphone dans un processus connu sous le nom de spoofing et de faire croire des personnes peu mfiantes qu’elles taient appeles par leur banque ou d’autres institutions. Fils d’une mre clibataire qui n’arrivait tout simplement pas s’en sortir , son chemin vers la criminalit tait jalonn de voitures voles et de consommation de cannabis, a-t-on appris auprs de la Southwark Crown Court.
Lorsque la police la arrt et a perquisitionn son appartement lou dans lest de Londres, elle a trouv des richesses comprenant une Lamborghini valant 230 000 livres sterling, deux Range Rovers valant 120 000 livres sterling et une Rolex valant 11 000 livres sterling. Il y avait aussi une machine compter largent, des bijoux et une montre Audemars Piguet qui semblait tre fausse.
En 2020, il a cofond iSpoof.cc, qu’il a transform en ce qu’il a appel la plateforme d’usurpation d’identit la plus sophistique qui soit , permettant aux escrocs de modifier le numro ou l’identit affiche lors de leurs appels afin de donner l’impression qu’ils appellent d’une organisation de confiance, souvent une banque ou le service des fraudes d’une banque.
Aprs avoir engrang prs de 2 millions de livres sterling de bnfices, la police a fini par l’attraper et a fait fermer le site. Son site tait utilis pour une grande partie des activits frauduleuses au Royaume-Uni, mais des imitateurs ont depuis pris sa place, et d’autres personnes sont encore victimes de ce type d’escroquerie, ont averti des experts.
Comment les victimes ont t escroques
Le nombre de personnes utilisant iSpoof a atteint 69 000 son apoge, avec jusqu’ 20 personnes par minute cibles par les appelants utilisant le site.
Plus de 10 millions d’appels frauduleux ont t effectus l’aide d’iSpoof au cours de l’anne qui s’est acheve en aot 2022, dont 3,5 millions au Royaume-Uni, selon l’accusation. Plus de 200 000 victimes au Royaume-Uni – dont beaucoup de personnes ges – ont perdu 43 millions de livres sterling, tandis que les pertes globales ont dpass les 100 millions de livres sterling.
Pour un abonnement de base de 150 livres sterling par mois, les utilisateurs disposaient d’un nombre de minutes dtermin pour passer des appels automatiss l’aide du site web ou de l’application. Ils pouvaient ensuite payer un supplment pour des fonctions supplmentaires, ce qui permettait d’obtenir des forfaits valant des centaines, voire des milliers de livres sterling par mois.
Les utilisateurs ne pouvaient payer qu’en bitcoins, une monnaie privilgie par de nombreux criminels parce qu’il est plus difficile de retracer les paiements. Souvent, les victimes recevaient un appel automatique les invitant confirmer une transaction sur un compte. Le site web leur permettait d’intercepter les mots de passe usage unique, qui ont t ironiquement introduits par les banques pour renforcer leurs mesures de scurit, a fait remarquer John Ojakovoh, le procureur.
iSpoof offrait aux escrocs des fonctions supplmentaires qui permettaient aux victimes de taper un code postal aprs avoir t invites le faire par un appel automatis. Les utilisateurs pouvaient galement payer pour surveiller les appels en direct ou passer des appels en prtendant qu’ils provenaient d’un tablissement qui avait d’anciennes donnes de carte dans son fichier et qui voulait en obtenir de nouvelles. Les cybercriminels pouvaient contrler le contenu de l’appel automatis et accder des outils tels que la reconnaissance vocale.
Dans le cadre de son marketing, iSpoof promettait aux utilisateurs la scurit et l’anonymat. Il leur tait dit que les journaux d’appels et les adresses IP n’taient pas stocks, de sorte que leurs traces taient couvertes .
En rgle gnrale, les escrocs disposent dj de certaines donnes bancaires concernant leurs victimes, souvent obtenues par le biais du smishing (envoi massif de faux messages) ou achetes ailleurs en ligne.
La chane Telegram
iSpoof disposait d’un canal sur Telegram, une plateforme de mdias sociaux, qu’elle utilisait pour communiquer avec ses clients et faire sa propre promotion, selon l’accusation. La chane Telegram affichait galement des publicits d’entreprises vendant des coordonnes bancaires. Fletcher l’utilisait pour raliser des tudes de march , en organisant des sondages pour savoir quelles fonctionnalits les utilisateurs souhaitaient le plus.
D’autres messages encourageaient les escrocs frauder, selon l’accusation. Dans un message post en janvier 2022, Fletcher a souhait ses clients une bonne anne , en crivant : Tous de retour au travail, de retour au travail, de retour au travail, de retour au travail : Tout le monde retourne au travail, la recherche d’un sac. Faites de cette anne une anne spciale, empilez ces Satoshis [rfrence l’inventeur suppos du bitcoin] .
Fletcher n’tait pas particulirement dou pour la technologie, mais il a utilis un site web de freelancers pour embaucher des programmeurs afin de crer les lments de base du site. Une programmeuse l’a mme averti qu’elle pensait que ce qu’il lui demandait de faire tait illgal et qu’elle risquait de se retrouver en prison, comme l’ont rvl des messages consults par les procureurs.
Son avocat a dclar qu’il avait d’abord voulu crer un site web simple, mais que son cofondateur lui avait suggr des moyens de rendre la technologie plus sophistique, ce qui l’avait encourag poursuivre dans cette voie. En 2021, son cofondateur et lui se sont brouills et Fletcher l’a vinc, le remplaant par trois autres administrateurs qu’il semblait superviser. Dans un message, on voit Fletcher rprimander un autre administrateur parce qu’il ne travaille pas assez dur , selon l’accusation.
Lorsque Fletcher a pris le contrle d’iSpoof, les bnfices perus ont connu une progression fulgurante , passant de 5 117 bitcoins, selon les procureurs. Fletcher a reu 64,38 bitcoins, soit un peu moins de 2 millions de livres sterling.
Comment la police a rsolu l’affaire
Se faisant passer pour des clients d’iSpoof, les policiers ont pay un abonnement d’essai en bitcoins et ont test le site web. Ils ont retrac l’argent qu’ils ont vers iSpoof et ont fini par dcouvrir que la part du lion des bnfices revenait Fletcher. Ils ont obtenu une copie du serveur du site web, qui a rvl des journaux d’appels incriminant davantage Fletcher et les cybercriminels utilisant son site web. Il s’est avr que Fletcher avait galement tromp les cybercriminels en affirmant qu’il ne stockait aucune de leurs informations, ont dclar les procureurs.
Aprs son arrestation en 2019, il a d’abord plaid non coupable. Aprs avoir vu les preuves contre lui, il a chang son plaidoyer. Selon ses avocats, Fletcher voulait que ses victimes sachent qu’il tait sincrement dsol pour la misre qu’il avait cause. Il souffrait et continue de souffrir d’anxit et de dpression, pour lesquelles il a consult un psychologue avant son arrestation, a dclar son avocat.
Dcrivant un jeune homme extrmement brillant , son avocat, Simon Baker KC, a dclar : Il est extrmement regrettable que l’intelligence n’ait pas t canalise vers des activits lucratives . Fletcher, qui est rcemment devenu pre, faisait rgulirement don d’une partie de sa fortune CYL, une organisation caritative, pour des projets visant aider les jeunes hommes souffrant de problmes de sant mentale, a dclar son avocat.
Avant son arrestation, il avait envisag de crer une entreprise pour fournir des bus l’association caritative et avait obtenu une place dans une cole d’art dramatique avant son arrestation. Son avocat a dclar que cela soulignait son potentiel de rinsertion.
La justice l’uvre
Bien que Fletcher reste derrire les barreaux, d’autres personnes font galement l’objet d’une enqute. Quelque 120 cybercriminels tlphoniques prsums ont t arrts, dont 103 Londres. Chris Ainsley, responsable de la gestion des risques de fraude chez Santander UK, a dclar qu’il tait formidable de voir les cybercriminels qui se livrent ces escroqueries traduits en justice , mais il a mis en garde : Le risque pos par la fraude et les escroqueries reste toujours prsent .
Nous continuons voir des milliers de cas o les cybercriminels se font passer pour des organismes officiels, comme une banque, la police ou le HMRC, en usurpant des numros de tlphone pour convaincre les victimes et les pousser agir . Jim Winters, directeur de la criminalit conomique chez Nationwide, a dclar qu’iSpoof tait l’origine d’un pourcentage significatif de l’activit frauduleuse que les banques observaient l’poque, et a ajout que les banques disposaient dsormais de davantage de contrles anti-spoofing.
Selon lui, la plupart des banques sont dsormais inscrites sur une liste anti-fraude tenue par l’autorit de rgulation des tlcommunications Ofcom, connue sous le nom de liste do not originate , qui enregistre les numros de tlphone utiliss par des entreprises ou des administrations authentiques pour recevoir des appels, mais qui ne sont jamais utiliss pour des appels sortants. Cette liste est communique aux fournisseurs de tlcommunications et leurs intermdiaires pour les aider identifier et bloquer les appels frauduleux.
Ces numros, tels que ceux qui figurent au dos des cartes bancaires ou qui sont rpertoris comme numros d’assistance en cas de fraude sur le site web d’une banque, sont les plus exposs au risque d’usurpation d’identit. Cependant, certaines banques n’ont pas inclus tous les numros pertinents dans la liste de l’autorit de rgulation, selon une enqute mene en novembre dernier par le groupe de consommateurs Which ?
Le commissaire Helen Rance a dclar : Je suis fire de mon quipe qui a men une longue et complexe enqute internationale , l’issue de laquelle Fletcher n’a eu d’autre choix que de plaider coupable.
Ceux qui commettent des fraudes n’ont aucune considration pour l’impact qu’elles ont sur la vie de victimes innocentes qui ont perdu des centaines de milliers de livres. Fletcher devrait avoir honte. Nos enqutes plus larges sur les utilisateurs prsums d’iSpoof se poursuivent. Je tiens remercier nos partenaires qui ont contribu l’enqute.
Le commandant Nik Adams, de la police de la ville de Londres, chef de file national en matire de fraude, a dclar : Cette affaire est un excellent exemple de la manire dont une activit coordonne et collaborative entre un certain nombre d’organismes chargs de l’application de la loi peut aboutir un rsultat judiciaire significatif pour les victimes de fraude et de cybercriminalit. Ce type de crime ne sera pas tolr et les personnes impliques dans la fraude et la cybercriminalit seront retrouves et traduites en justice.
Des millions de personnes reoivent chaque mois des appels et des SMS frauduleux, dont beaucoup sont convaincants parce que le criminel semble utiliser un vrai numro de tlphone, comme celui d’une banque ou d’un fournisseur de services publics, pour tenter de convaincre la victime que le message est lgitime.
Cette tactique, connue sous le nom d’usurpation d’identit, trompe la victime car le numro de tlphone semble tre rel.
Les entreprises peuvent protger leurs clients en faisant en sorte qu’il soit le plus difficile possible pour les criminels d’usurper leurs numros de tlphone, mais certaines des plus grandes banques n’ont pas russi le faire.
Source : Metropolitan Police
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :