Trois Cybercriminels du Royaume-Uni ont plaid coupable d’avoir exploit OTP Agency, un service en ligne illgal qui permettait aux criminels d’intercepter les codes d’accs usage unique (OTP) utiliss pour scuriser les connexions divers sites web. Ce service, actif entre novembre 2019 et fvrier 2021, a aid des cybercriminels accder frauduleusement plus de 12 500 comptes en ligne. Malgr des tentatives de suppression des preuves et de relancer le service, les trois responsables ont t arrts par la National Crime Agency (NCA) et risquent des poursuites judiciaires.
Lanc en novembre 2019, OTP Agency permettait aux cybercriminels d’intercepter ces codes en se faisant passer pour des institutions financires et en appelant les victimes pour les alerter d’une activit suspecte sur leurs comptes. Les victimes taient invites entrer leur OTP, lequel tait ensuite transmis aux cybercriminels via le site de l’agence.
Le 30 aot, la National Crime Agency (NCA) du Royaume-Uni a rvl que Callum Picari, 22 ans, Vijayasidhurshan Vijayanathan, 21 ans, et Aza Siddeeque, 19 ans, avaient plaid coupable d’avoir exploit ce service. Malgr les affirmations des propritaires d’OTP Agency selon lesquelles leur service tait lgitime, des messages sur leur canal Telegram ont rvl que l’objectif principal tait de faciliter l’accs illgal des comptes en ligne.
Les criminels devaient payer un abonnement mensuel pour manipuler les titulaires de comptes bancaires et les amener divulguer des codes daccs usage unique ou dautres informations personnelles sensibles. Une formule de base, facture 34 euros par semaine, permettait de contourner l’authentification multifactorielle sur des plateformes telles que HSBC, Monzo et Lloyds, offrant ainsi aux criminels la possibilit de raliser des transactions frauduleuses en ligne.
Un plan dlite, cotant 435 euros par semaine, offrait l’accs des sites de vrification Visa et Mastercard, permettant ainsi aux criminels daccder des comptes bancaires personnels et de voler de largent. Les enquteurs en cyberscurit de la National Crime Agency (NCA) ont commenc surveiller le site en juin 2020 et estiment que plus de 12 500 personnes ont t cibles entre septembre 2019 et mars 2021, date laquelle le site a t mis hors ligne aprs l’arrestation des trois individus.
Bien qu’il soit difficile de dterminer le montant exact des gains gnrs par cette entreprise criminelle, les estimations suggrent qu’il pourrait atteindre environ 35 000 euros si les utilisateurs avaient opt pour le plan de base, et jusqu’ 9,1 millions deuros s’ils avaient choisi l’offre lite. Callum Picari, en tant que propritaire, dveloppeur, et principal bnficiaire du service, a promu OTP Agency sur un groupe Telegram comptant plus de 2 200 membres. En octobre 2019, il a publi un message dclarant : Premier et dernier service professionnel pour vos besoins en vol d’OTP. Nous vous garantissons des bnfices dans les minutes suivant l’achat de notre service… .
Il a galement ajout : Vous avez toujours voulu obtenir un code d’accs usage unique pour n’importe quel site web ? Eh bien, c’est dsormais possible ! Avec OTPAgency, vous pouvez obtenir un OTP pour vbv, plus de 30 sites, ainsi qu’Apple Pay… et cela pour seulement 34 euros par semaine. Vous ne voulez vraiment pas manquer a.
Le groupe Telegram a t supprim en fvrier 2021 et effac des donnes, mais a continu d’oprer sur un nouveau canal Telegram avant d’tre dfinitivement mis hors ligne aprs l’arrestation des trois hommes. Au cours de ses 18 mois d’activit, OTP Agency a permis ses utilisateurs de cibler plus de 12 500 personnes.
Malgr la fermeture d’OTP Agency, d’autres services similaires continuent de fonctionner, notamment SMSRanger, qui sera abord dans un prochain article. La NCA conseille de toujours vrifier les appels ou messages suspects en contactant directement son institution financire via des canaux srs.
Les enjeux de scurit et la ncessit de renforcer la vigilance
Cette affaire soulve d’importantes questions sur l’efficacit des systmes d’authentification deux facteurs (2FA). Bien que le 2FA soit largement reconnu comme un moyen de protection essentiel pour les comptes en ligne, l’exploitation d’OTP Agency dmontre que mme cette couche de scurit peut tre compromise par des mthodes d’ingnierie sociale sophistiques. Les cybercriminels derrire OTP Agency ont russi tromper leurs victimes en se faisant passer pour des institutions financires crdibles, les incitant ainsi fournir volontairement leurs OTP, qui taient ensuite intercepts via le site de l’agence.
Ce qui est particulirement inquitant, c’est la manire dont ce service a pu oprer pendant plus d’un an, facilitant ainsi l’accs frauduleux un grand nombre de comptes en ligne. Le succs de cette entreprise criminelle souligne non seulement les vulnrabilits technologiques, mais aussi un manque crucial de sensibilisation des utilisateurs face aux dangers du cyberespace. L’ampleur de l’utilisation d’OTP Agency reflte une demande alarmante pour ce type de services illgaux, ce qui met en exergue la ncessit de renforcer la fois les technologies de scurit et l’ducation du public concernant les menaces numriques.
Le recours l’ingnierie sociale pour obtenir ces informations sensibles souligne galement l’importance pour les utilisateurs d’adopter des pratiques de vigilance renforces. Il est essentiel que les individus apprennent reconnatre les tentatives d’escroquerie et qu’ils sachent comment vrifier l’authenticit des communications qu’ils reoivent, surtout lorsqu’il s’agit de donnes aussi critiques que les OTP.
En dpit de la fermeture d’OTP Agency et de l’arrestation de ses crateurs, la persistance d’autres services similaires, comme SMSRanger, montre que le problme reste omniprsent. Les efforts des autorits et des entreprises doivent s’intensifier pour identifier rapidement ces menaces et les neutraliser. Cela ncessite une collaboration constante et des stratgies de scurit volutives pour contrer ces menaces mergentes.
Cette affaire illustre non seulement les dfis actuels en matire de cyberscurit, mais aussi l’importance d’une sensibilisation accrue du public pour se prmunir contre des menaces de plus en plus sophistiques. Renforcer les systmes de scurit tout en duquant les utilisateurs sur les bonnes pratiques en ligne est devenu une ncessit urgente dans un monde o les risques numriques ne cessent de crotre.
Sources : Krebs on Security, National Crime Agency
Et vous ?
Comment OTP Agency a-t-il pu oprer pendant plus d’un an sans tre dtect par les autorits ou les institutions financires ?
Quelles leons peuvent tre tires pour prvenir l’mergence de services similaires l’avenir ?
Voir aussi :
Arrestation du PDG de Telegram Pavel Durov : les 12 lourds chefs d’accusation de l’information judiciaire diligente par le parquet de Paris
La France subit des attaques par dni de service distribu (DDoS) rptition depuis l’arrestation sur son sol du fondateur de Telegram, dont des hacktivistes rclament la libration