« J’ai ce boomer ! » : Comment les cybercriminels volent des codes d’accès à usage unique pour des attaques par échange de carte SIM et des raids sur des comptes bancaires

64 views 12:05 pm 0 Comments mai 13, 2024
a noir-style graphic of a photo of a woman holding a phone receiver to her ear, with scattered six-digit two-factor codes scattered around the image

L’appel téléphonique entrant clignote sur le téléphone d’une victime. Cela peut ne durer que quelques secondes, mais peut se terminer lorsque la victime remet des codes qui donnent aux cybercriminels la possibilité de détourner leurs comptes en ligne ou de vider leurs portefeuilles cryptographiques et numériques.

« C’est l’équipe de sécurité de PayPal ici. Nous avons détecté une activité inhabituelle sur votre compte et vous appelons par mesure de précaution », indique la voix robotique de l’appelant. « Veuillez saisir le code de sécurité à six chiffres que nous avons envoyé à votre appareil mobile. »

La victime, ignorant les intentions malveillantes de l’appelant, tape sur le clavier de son téléphone le code à six chiffres qu’elle vient de recevoir par SMS.

« J’ai ce boomer! » » lit un message sur la console de l’attaquant.

Dans certains cas, l’attaquant peut également envoyer un e-mail de phishing dans le but de capturer le mot de passe de la victime. Mais souvent, ce code de leur téléphone suffit à l’attaquant pour accéder au compte en ligne d’une victime. Au moment où la victime met fin à l’appel, l’attaquant a déjà utilisé le code pour se connecter au compte de la victime comme s’il en était le propriétaire légitime.

Depuis la mi-2023, une opération d’interception appelée Estate a permis à des centaines de membres d’effectuer des milliers d’appels téléphoniques automatisés pour inciter les victimes à saisir des codes d’accès à usage unique, a appris TechCrunch. Estate aide les attaquants à déjouer les fonctionnalités de sécurité telles que l’authentification multifacteur, qui repose sur un code d’accès à usage unique envoyé au téléphone ou à l’e-mail d’une personne ou généré à partir de son appareil à l’aide d’une application d’authentification. Les codes d’accès à usage unique volés peuvent permettre aux attaquants d’accéder aux comptes bancaires, aux cartes de crédit, aux portefeuilles cryptographiques et numériques et aux services en ligne d’une victime. La plupart des victimes se trouvaient aux États-Unis.

Mais un bug dans le code d’Estate a exposé la base de données principale du site, qui n’était pas cryptée. La base de données d’Estate contient des détails sur le fondateur du site et ses membres, ainsi que des journaux ligne par ligne de chaque attaque depuis le lancement du site, y compris les numéros de téléphone des victimes qui ont été ciblées, quand et par quel membre.

Vangelis Stykas, chercheur en sécurité et directeur de la technologie chez Atropos.ai, a fourni la base de données Estate à TechCrunch pour analyse.

La base de données back-end fournit un aperçu rare du fonctionnement d’une opération d’interception de mot de passe unique. Des services comme Estate annoncent leurs offres sous couvert de fournir un service apparemment légitime permettant aux praticiens de la sécurité de tester leur résilience aux attaques d’ingénierie sociale, mais tombent dans un espace juridique gris car ils permettent à leurs membres d’utiliser ces services pour des cyberattaques malveillantes. Dans le passé, les autorités ont poursuivi en justice les opérateurs de sites similaires dédiés à l’automatisation des cyberattaques pour avoir fourni leurs services à des criminels.

La base de données contient des journaux pour plus de 93 000 attaques depuis le lancement d’Estate l’année dernière, ciblant les victimes qui possèdent des comptes chez Amazon, Bank of America, CapitalOne, Chase, Coinbase, Instagram, Mastercard, PayPal, Venmo, Yahoo (qui possède TechCrunch), et bien d’autres. autres.

Certaines attaques montrent également des efforts visant à détourner des numéros de téléphone en effectuant des attaques d’échange de carte SIM – une campagne était simplement intitulée « votre copain échange la carte SIM » – et en menaçant de doxer les victimes.

Le fondateur d’Estate, un programmeur danois d’une vingtaine d’années, a déclaré à TechCrunch dans un e-mail la semaine dernière : « Je n’exploite plus le site ». Le fondateur, malgré ses efforts pour dissimuler les opérations en ligne d’Estate, a mal configuré le serveur d’Estate, ce qui a révélé son emplacement réel dans un centre de données aux Pays-Bas.

une photo montrant la console d'appel de l'attaquant, qui montre où l'attaquant suit l'attaque en cours.
La console de l’attaquant dans Estate. Crédits images : TechCrunch (capture d’écran)
Crédits images : TechCrunch

Estate se présente comme capable de « créer des solutions OTP sur mesure qui correspondent parfaitement à vos besoins » et explique que « notre option de script personnalisé vous donne le contrôle ». Les membres du domaine exploitent le réseau téléphonique mondial en se faisant passer pour des utilisateurs légitimes pour accéder aux fournisseurs de communications en amont. L’un des fournisseurs était Telnyx, dont le directeur général, David Casem, a déclaré à TechCrunch que la société avait bloqué les comptes d’Estate et qu’une enquête était en cours.

Bien qu’Estate veille à ne pas utiliser de langage explicite susceptible d’inciter ou d’encourager des cyberattaques malveillantes, la base de données montre qu’Estate est utilisé presque exclusivement à des fins criminelles.

« Ces types de services constituent l’épine dorsale de l’économie criminelle », a déclaré Allison Nixon, directrice de recherche à l’Unité 221B, une société de cybersécurité connue pour enquêter sur les groupes de cybercriminalité. « Ils rendent efficaces les tâches lentes. Cela signifie que davantage de personnes reçoivent des escroqueries et des menaces en général. De plus en plus de personnes âgées perdent leur retraite à cause de la criminalité – par rapport à l’époque où ces types de services n’existaient pas. »

Estate a essayé de garder un profil bas en cachant son site Web aux moteurs de recherche et en attirant de nouveaux membres par le bouche à oreille. Selon son site Web, les nouveaux membres ne peuvent se connecter à Estate qu’avec un code de parrainage d’un membre existant, ce qui maintient le nombre d’utilisateurs à un faible niveau pour éviter d’être détecté par les fournisseurs de communications en amont sur lesquels Estate s’appuie.

Une fois la porte franchie, Estate fournit aux membres des outils pour rechercher les mots de passe des comptes de leurs victimes potentielles précédemment violés, laissant les codes à usage unique comme seul obstacle au détournement des comptes des cibles. Les outils d’Estate permettent également aux membres d’utiliser des scripts personnalisés contenant des instructions pour inciter les cibles à fournir leurs codes d’accès à usage unique.

Certains scripts d’attaque sont plutôt conçus pour valider les numéros de carte de crédit volés en incitant la victime à fournir le code de sécurité figurant au dos de sa carte de paiement.

Selon la base de données, l’une des plus grandes campagnes d’appels sur Estate ciblait les victimes plus âgées, en supposant que les « baby-boomers » étaient plus susceptibles de répondre à des appels téléphoniques non sollicités que les jeunes générations. La campagne, qui a nécessité environ un millier d’appels téléphoniques, s’appuyait sur un script qui tenait le cybercriminel informé de chaque tentative d’attaque.

« Le vieux f- a répondu! » » clignoterait sur la console lorsque leur victime répondrait à l’appel, et « Life support unplugged » indiquerait quand l’attaque a réussi.

La base de données montre que le fondateur d’Estate est conscient que sa clientèle est en grande partie composée d’acteurs criminels, et Estate promet depuis longtemps la confidentialité de ses membres.

« Nous n’enregistrons aucune donnée et nous n’avons besoin d’aucune information personnelle pour utiliser nos services », peut-on lire sur le site Web d’Estate, un pied de nez aux contrôles d’identité que les fournisseurs de télécommunications et les entreprises technologiques en amont exigent généralement avant de laisser des clients accéder à leurs réseaux.

Mais ce n’est pas strictement vrai. Estate a enregistré chaque attaque menée par ses membres de manière granulaire depuis le lancement du site à la mi-2023. Et le fondateur du site a conservé l’accès aux journaux du serveur qui fournissaient une fenêtre en temps réel sur ce qui se passait sur le serveur d’Estate à tout moment, y compris chaque appel passé par ses membres, ainsi qu’à chaque fois qu’un membre chargeait une page sur le site Web d’Estate.

La base de données montre que Estate garde également une trace des adresses e-mail des membres potentiels. L’un de ces utilisateurs a déclaré qu’il souhaitait rejoindre Estate parce qu’il avait récemment « commencé à acheter des cc » – faisant référence aux cartes de crédit – et pensait qu’Estate était plus digne de confiance que d’acheter un robot auprès d’un vendeur inconnu. L’utilisateur a ensuite été autorisé à devenir membre du domaine, selon les dossiers.

La base de données exposée montre que certains membres ont fait confiance à la promesse d’anonymat d’Estate en laissant des fragments de leurs propres informations identifiables – y compris des adresses e-mail et des identifiants en ligne – dans les scripts qu’ils ont écrits et les attaques qu’ils ont menées.

La base de données d’Estate contient également les scripts d’attaque de ses membres, qui révèlent les manières spécifiques dont les attaquants exploitent les faiblesses dans la façon dont les géants de la technologie et les banques mettent en œuvre des fonctionnalités de sécurité, comme les codes d’accès à usage unique, pour vérifier l’identité des clients. TechCrunch ne décrit pas les scripts en détail, car cela pourrait aider les cybercriminels à mener des attaques.

Le journaliste chevronné en matière de sécurité Brian Krebs, qui a déjà rendu compte d’une opération de code d’accès unique en 2021, a déclaré que ce type d’opérations criminelles montre clairement pourquoi vous ne devriez « jamais fournir d’informations en réponse à un appel téléphonique non sollicité ».

« Peu importe qui prétend appeler : si ce n’est pas vous qui avez initié le contact, raccrochez. Si vous n’avez pas initié le contact, raccrochez », a écrit Krebs. Ce conseil est toujours valable aujourd’hui.

Mais même si les services proposant l’utilisation de codes d’accès à usage unique offrent toujours une meilleure sécurité aux utilisateurs que les services qui ne le font pas, la capacité des cybercriminels à contourner ces défenses montre que les entreprises technologiques, les banques, les portefeuilles et bourses cryptographiques et les sociétés de télécommunications ont plus de travail à faire. faire.

Nixon, de l’Unité 221B, a déclaré que les entreprises sont engagées dans une « bataille éternelle » contre de mauvais acteurs cherchant à abuser de leurs réseaux, et que les autorités devraient intensifier leurs efforts pour réprimer ces services.

« La pièce manquante est que nous avons besoin des forces de l’ordre pour arrêter les acteurs du crime qui deviennent une telle nuisance », a déclaré Nixon. «Les jeunes en font délibérément leur métier, car ils se convainquent qu’ils ne sont qu’une plateforme et qu’ils ne sont pas responsables des crimes facilités par leur projet.»

« Ils espèrent gagner de l’argent facilement grâce à l’économie frauduleuse. Certains influenceurs encouragent les méthodes contraires à l’éthique pour gagner de l’argent en ligne. Les forces de l’ordre doivent mettre fin à cela.

Étiquettes : , , , , , , , , , , , , , , , , , , , ,

Leave a Reply

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *