IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les propriétaires d'un service de vol de codes d'accès à usage unique plaident coupable,
OTP Agency a aidé des cybercriminels à frauder plus de 12 500 comptes en ligne

Le , par Bruno

20PARTAGES

6  0 
Trois Cybercriminels du Royaume-Uni ont plaidé coupable d'avoir exploité OTP Agency, un service en ligne illégal qui permettait aux criminels d'intercepter les codes d'accès à usage unique (OTP) utilisés pour sécuriser les connexions à divers sites web. Ce service, actif entre novembre 2019 et février 2021, a aidé des cybercriminels à accéder frauduleusement à plus de 12 500 comptes en ligne. Malgré des tentatives de suppression des preuves et de relancer le service, les trois responsables ont été arrêtés par la National Crime Agency (NCA) et risquent des poursuites judiciaires.

Lancé en novembre 2019, OTP Agency permettait aux cybercriminels d'intercepter ces codes en se faisant passer pour des institutions financières et en appelant les victimes pour les alerter d'une activité suspecte sur leurs comptes. Les victimes étaient invitées à entrer leur OTP, lequel était ensuite transmis aux cybercriminels via le site de l'agence.

Le 30 août, la National Crime Agency (NCA) du Royaume-Uni a révélé que Callum Picari, 22 ans, Vijayasidhurshan Vijayanathan, 21 ans, et Aza Siddeeque, 19 ans, avaient plaidé coupable d'avoir exploité ce service. Malgré les affirmations des propriétaires d'OTP Agency selon lesquelles leur service était légitime, des messages sur leur canal Telegram ont révélé que l'objectif principal était de faciliter l'accès illégal à des comptes en ligne.


Les criminels devaient payer un abonnement mensuel pour manipuler les titulaires de comptes bancaires et les amener à divulguer des codes d’accès à usage unique ou d’autres informations personnelles sensibles. Une formule de base, facturée 34 euros par semaine, permettait de contourner l'authentification multifactorielle sur des plateformes telles que HSBC, Monzo et Lloyds, offrant ainsi aux criminels la possibilité de réaliser des transactions frauduleuses en ligne.

Un plan d’élite, coûtant 435 euros par semaine, offrait l'accès à des sites de vérification Visa et Mastercard, permettant ainsi aux criminels d’accéder à des comptes bancaires personnels et de voler de l’argent. Les enquêteurs en cybersécurité de la National Crime Agency (NCA) ont commencé à surveiller le site en juin 2020 et estiment que plus de 12 500 personnes ont été ciblées entre septembre 2019 et mars 2021, date à laquelle le site a été mis hors ligne après l'arrestation des trois individus.

Bien qu'il soit difficile de déterminer le montant exact des gains générés par cette entreprise criminelle, les estimations suggèrent qu'il pourrait atteindre environ 35 000 euros si les utilisateurs avaient opté pour le plan de base, et jusqu'à 9,1 millions d’euros s'ils avaient choisi l'offre élite. Callum Picari, en tant que propriétaire, développeur, et principal bénéficiaire du service, a promu OTP Agency sur un groupe Telegram comptant plus de 2 200 membres. En octobre 2019, il a publié un message déclarant : « Premier et dernier service professionnel pour vos besoins en vol d'OTP. Nous vous garantissons des bénéfices dans les minutes suivant l'achat de notre service... ».

Il a également ajouté : « Vous avez toujours voulu obtenir un code d'accès à usage unique pour n'importe quel site web ? Eh bien, c'est désormais possible ! Avec OTPAgency, vous pouvez obtenir un OTP pour vbv, plus de 30 sites, ainsi qu'Apple Pay... et cela pour seulement 34 euros par semaine. Vous ne voulez vraiment pas manquer ça. »

Le groupe Telegram a été supprimé en février 2021 et effacé des données, mais a continué d'opérer sur un nouveau canal Telegram avant d'être définitivement mis hors ligne après l'arrestation des trois hommes. Au cours de ses 18 mois d'activité, OTP Agency a permis à ses utilisateurs de cibler plus de 12 500 personnes. Malgré la fermeture d'OTP Agency, d'autres services similaires continuent de fonctionner, notamment SMSRanger, qui sera abordé dans un prochain article. La NCA conseille de toujours vérifier les appels ou messages suspects en contactant directement son institution financière via des canaux sûrs.

Les enjeux de sécurité et la nécessité de renforcer la vigilance

Cette affaire soulève d'importantes questions sur l'efficacité des systèmes d'authentification à deux facteurs (2FA). Bien que le 2FA soit largement reconnu comme un moyen de protection essentiel pour les comptes en ligne, l'exploitation d'OTP Agency démontre que même cette couche de sécurité peut être compromise par des méthodes d'ingénierie sociale sophistiquées. Les cybercriminels derrière OTP Agency ont réussi à tromper leurs victimes en se faisant passer pour des institutions financières crédibles, les incitant ainsi à fournir volontairement leurs OTP, qui étaient ensuite interceptés via le site de l'agence.

Ce qui est particulièrement inquiétant, c'est la manière dont ce service a pu opérer pendant plus d'un an, facilitant ainsi l'accès frauduleux à un grand nombre de comptes en ligne. Le succès de cette entreprise criminelle souligne non seulement les vulnérabilités technologiques, mais aussi un manque crucial de sensibilisation des utilisateurs face aux dangers du cyberespace. L'ampleur de l'utilisation d'OTP Agency reflète une demande alarmante pour ce type de services illégaux, ce qui met en exergue la nécessité de renforcer à la fois les technologies de sécurité et l'éducation du public concernant les menaces numériques.

Le recours à l'ingénierie sociale pour obtenir ces informations sensibles souligne également l'importance pour les utilisateurs d'adopter des pratiques de vigilance renforcées. Il est essentiel que les individus apprennent à reconnaître les tentatives d'escroquerie et qu'ils sachent comment vérifier l'authenticité des communications qu'ils reçoivent, surtout lorsqu'il s'agit de données aussi critiques que les OTP.


En dépit de la fermeture d'OTP Agency et de l'arrestation de ses créateurs, la persistance d'autres services similaires, comme SMSRanger, montre que le problème reste omniprésent. Les efforts des autorités et des entreprises doivent s'intensifier pour identifier rapidement ces menaces et les neutraliser. Cela nécessite une collaboration constante et des stratégies de sécurité évolutives pour contrer ces menaces émergentes.

Cette affaire illustre non seulement les défis actuels en matière de cybersécurité, mais aussi l'importance d'une sensibilisation accrue du public pour se prémunir contre des menaces de plus en plus sophistiquées. Renforcer les systèmes de sécurité tout en éduquant les utilisateurs sur les bonnes pratiques en ligne est devenu une nécessité urgente dans un monde où les risques numériques ne cessent de croître.

Sources : Krebs on Security, National Crime Agency

Et vous ?

Comment OTP Agency a-t-il pu opérer pendant plus d'un an sans être détecté par les autorités ou les institutions financières ?

Quelles leçons peuvent être tirées pour prévenir l'émergence de services similaires à l'avenir ?

Voir aussi :

La ville de Columbus poursuit un chercheur en sécurité après sa révélation sur la gravité d'une attaque par rançongiciel, contredisant les affirmations des autorités municipales

Arrestation du PDG de Telegram Pavel Durov : les 12 lourds chefs d'accusation de l'information judiciaire diligentée par le parquet de Paris

La France subit des attaques par déni de service distribué (DDoS) à répétition depuis l'arrestation sur son sol du fondateur de Telegram, dont des hacktivistes réclament la libération

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Jules34
Membre émérite https://www.developpez.com
Le 04/09/2024 à 15:51
C'est quand même assez extraordinaire de se faire vendre du progrès technologique pour que 3 gamins de 22, 21 et 19 ans puissent déjouer des sécurités que des ingénieurs et des compagnies vendent des millions de $.

J'ai une solution simple qui s'appelle le hors ligne. Comme avant. Comme ça pour braquer quelqu'un faut prendre un pistolet. Les adolescents réfléchirons au truc à deux fois, en tout cas ceux qui sont malins, car il faut avoir quelque neurones pour faire un système comme ça !

L'extrait d'un chat entre deux des compères dans l'article source est hilarant :

Picari said: bro we are in big trouble… U will get me bagged… Bro delete the chat

Vijayanathan: Are you sure

Picari: So much evidence in there

Vijayanathan: Are you 100% sure

Picari: It’s so incriminating…Take a look and search ‘fraud’…Just think of all the evidence…that we cba to find…in the OTP chat…they will find

Vijayanathan: Exactly so if we just shut EVERYTHING down

Picari: They went to our first ever msg…We look incriminating…if we shut down…I say delete the chat…Our chat is Fraud 100%

Vijayanathan : Everyone with a brain will tell you stop it here and move on

Picari: Just because we close it doesn’t mean we didn’t do it…But deleting our chat…Will f*^k their investigations…There’s nothing fraudulent on the site
2  0