Comment les cybercriminels volent les codes d'accès à usage unique...

[chtimi054]

Comment les cybercriminels volent les codes d'accès à usage unique pour les attaques par échange de cartes SIM et le pillage des comptes bancaires,
Notamment en exploitant des services dédiés en ligne

Une vaste campagne de cyberattaques dévastatrices en cours depuis au moins l'année dernière aurait permis aux acteurs de la menace de dérober des millions de dollars à leurs victimes. Cette vague de cyberattaques, combinant des techniques d'ingénierie sociale et l'exploitation de codes d'accès à usage unique (OTP), serait menée par l'intermédiaire d'une plateforme appelée "Estate" basée aux Pays-Bas. Les attaquants récupèrent les codes OTP en exploitant la crédulité de leurs victimes et se livrent ensuite à un vol paralysant qui peut priver définitivement une personne de la totalité des fonds de son compte bancaire ou de son compte de retraite.

Un service en ligne appelé Estate permet aux cybercriminels de mener des cyberattaques

La stratégie du groupe de pirates Estate repose sur une technique simple, mais d'une efficacité redoutable : l'interception de codes d'accès à usage unique. Un code d'accès à usage unique (one-time password - OTP) est une séquence de caractères numériques ou alphanumériques générée automatiquement qui permet d'authentifier un utilisateur pour une seule connexion ou transaction. Ils sont conçus pour renforcer la sécurité grâce à l'authentification multifactorielle (2FA). Mais Estate utilise des techniques avancées d'ingénierie sociale ou des appels téléphoniques automatisés pour obtenir les codes OTP.
Estate est en activité depuis un certain temps. Jusqu'à récemment, les experts en cybersécurité n'étaient pas en mesure de déterminer où se trouve ce gang de cybercriminels ni surtout qui en est l'instigateur. Mais un bogue dans le code d'Estate a exposé la base de données du site, qui n'était pas chiffrée, révélant de nombreuses informations précieuses. Elle contient notamment des informations sur le fondateur du site et ses membres, ainsi que des journaux ligne par ligne de chaque attaque depuis le lancement du site, y compris les numéros de téléphone des victimes qui ont été ciblées, à quel moment et par quel membre.

Elle donne un rare aperçu du fonctionnement d'une opération d'interception de codes OTP. Les services comme Estate font la publicité de leurs offres sous le couvert d'un service ostensiblement légitime permettant aux praticiens de la sécurité de tester la résistance aux attaques d'ingénierie sociale. Mais ils tombent dans un espace juridique flou parce qu'ils permettent à leurs membres d'utiliser ces services pour des cyberattaques dévastatrices. Par le passé, les autorités ont poursuivi des opérateurs de sites similaires dédiés à l'automatisation de cyberattaques pour avoir fourni leurs services à des cybercriminels.

Cela entraîne, sans surprise, des difficultés et des souffrances dans le rang des victimes. Pour ces derniers, l'escroquerie commence par un appel, censé provenir d'une entité de confiance, telle que l'équipe de sécurité de PayPal, l'avertissant d'une activité suspecte sur son compte. Depuis la mi-2023, des centaines de membres de l'opération Estate auraient effectué des milliers d'appels automatisés pour inciter les victimes à saisir des codes OTP. Invitées à vérifier leurs identités, les victimes fournissent maladroitement le code OTP envoyé sur leurs appareils mobiles. Les pirates prennent automatiquement le contrôle des appareils.

Les codes d'accès à usage unique volés peuvent permettre aux pirates d'accéder aux comptes bancaires, aux cartes de crédit, aux portefeuilles cryptographiques et numériques et aux services en ligne des victimes. La plupart des victimes se trouveraient aux États-Unis. La base de données, analysée par Techcrunch, contient les journaux de plus de 93 000 attaques menées depuis le lancement d'Estate l'année dernière, ciblant des victimes possédant des comptes chez Amazon, Bank of America, Capital One, Chase Bank, Coinbase, Instagram, Mastercard, PayPal, Venmo, Yahoo et bien d'autres encore. Mais ce n'est pas tout.

L'analyse de la base de données révèle également que certaines des attaques sont des efforts pour détourner des numéros de téléphone en effectuant des attaques par échange de cartes SIM et en menaçant les victimes de les taper. Le fondateur d'Estate, un programmeur danois âgé d'une vingtaine d'années, affirme qu'il n'exploite plus le site. Malgré ses efforts pour dissimuler les opérations en ligne d'Estate, le fondateur a mal configuré le serveur du site, ce qui a révélé son emplacement réel dans un centre de données aux Pays-Bas.

La base de données d'Estate expose les activités malveillantes de certains de ces membres

Estate se présente comme capable de créer des solutions OTP sur mesure qui répondent parfaitement à vos besoins et explique : « notre option de script personnalisé vous donne le contrôle ». Ses membres exploitent le réseau téléphonique mondial en se faisant passer pour des utilisateurs légitimes afin d'accéder aux fournisseurs de communications en amont. L'un de ces fournisseurs était Telnyx. Bien qu'Estate veille à ne pas utiliser un langage explicite susceptible d'inciter ou d'encourager des cyberattaques malveillantes, la base de données montre que le site est utilisé presque exclusivement à des fins criminelles.

« Ce type de services constitue l'épine dorsale de l'économie criminelle. Ils rendent les tâches lentes plus efficaces. Cela signifie que davantage de personnes sont victimes d'escroqueries et de menaces. Plus de personnes âgées perdent leur retraite à cause de la criminalité par rapport à l'époque où ces services n'existaient pas », note Allison Nixon, responsable de la recherche chez Unit 221B, une société de cybersécurité. L'une des plus grandes campagnes sur Estate a ciblé des victimes âgées en partant du principe que les boomers sont plus susceptibles d'accepter un appel téléphonique non sollicité que les jeunes générations.

La base de données montre que le fondateur d'Estate est conscient que sa clientèle est en grande partie constituée d'acteurs criminels, et il promet depuis longtemps le respect de la vie privée de ses membres. « Nous n'enregistrons aucune donnée et nous ne demandons aucune information personnelle pour utiliser nos services », indique le site Web d'Estate. Mais ce n'est pas tout à fait vrai. Estate a enregistré toutes les attaques menées par ses membres, avec des détails précis, depuis le lancement du site à la mi-2023. La base de données a révélé des informations qui pourraient compromettre certains de ces membres.

De plus, le fondateur du site a conservé l'accès aux journaux des serveurs, qui permettent de voir en temps réel ce qui se passe sur le serveur d'Estate à tout moment, y compris chaque appel effectué par ses membres, ainsi que chaque fois qu'un membre charge une page sur le site Web d'Estate. La base de données montre qu'Estate conserve également les adresses électroniques de membres potentiels. Elle révèle que certains membres ont fait confiance à la promesse d'anonymat d'Estate en laissant des fragments de leurs propres informations identifiables dans les scripts qu'ils ont écrits et les attaques qu'ils ont menées.

Ces informations comprennent des adresses électroniques et des pseudonymes en ligne. La base de données d'Estate contient également les scripts d'attaque de ses membres, qui révèlent les façons spécifiques dont les attaquants exploitent les faiblesses dans la manière dont les géants de la technologie et les banques mettent en œuvre les dispositifs de sécurité, tels que les codes d'accès à usage unique, pour vérifier l'identité des clients. Ces cyberattaques montrent que les entreprises technologiques, les banques, etc. ont encore du pain sur la planche pour assurer la sécurité des utilisateurs malgré l'authentification 2FA.

« La pièce manquante est que les forces de l'ordre doivent arrêter les acteurs criminels qui se rendent si nuisibles. De jeunes gens font délibérément carrière dans ce domaine, parce qu'ils se persuadent qu'ils ne sont qu'une simple plateforme et qu'ils ne sont pas responsables de la criminalité facilitée par leur projet. Ils espèrent gagner facilement de l'argent dans l'économie de l'escroquerie. Certains influenceurs encouragent des méthodes non éthiques pour gagner de l'argent en ligne. Les forces de l'ordre doivent y mettre un terme », a déclaré Nixon.

merci à Developpez.com

[MyPOV]

Bonjour,

Pour ces derniers, l'escroquerie commence par un appel, censé provenir d'une entité de confiance, telle que l'équipe de sécurité de PayPal, l'avertissant d'une activité suspecte sur son compte. Depuis la mi-2023, des centaines de membres de l'opération Estate auraient effectué des milliers d'appels automatisés pour inciter les victimes à saisir des codes OTP. Invitées à vérifier leurs identités, les victimes fournissent maladroitement le code OTP envoyé sur leurs appareils mobiles.

Finalement, il n'y a pas de faille technique, c'est du social engineering qui incite la victime à fournir ses codes et identifiants.

La règle est de ne communiquer aucun identifiant à qui que ce soit par quelque moyen que ce soit de contact et quelle qu'en soit la raison. Notre vigilance naturelle a tendance à baisser, en particulier en situation faussement d'urgence, quand ça émane d'une entreprise qu'on connait, et encore plus lors de l'usurpation d'un proche *. J'espère parvenir à toujours respecter cette régle de sécurité

* une fois, j'ai reçu un message de ma chérie qui était censée avoir eu un gros accident, avec une explication plausible pour qu'elle ne puisse pas utiliser son téléphone, blabla, bref il fallait que je lui transfère de l'argent de suite parce qu'elle n'avait pas assez pour les frais, blabla, c'était vraiment bien écrit... en fait sa messagerie avait été piratée. Ce n'est pas facile de garder la tête froide pour ne pas se laisser embarquer dans l'escroquerie.