Lancé en novembre 2019, OTP Agency permettait aux cybercriminels d'intercepter ces codes en se faisant passer pour des institutions financières et en appelant les victimes pour les alerter d'une activité suspecte sur leurs comptes. Les victimes étaient invitées à entrer leur OTP, lequel était ensuite transmis aux cybercriminels via le site de l'agence.
Le 30 août, la National Crime Agency (NCA) du Royaume-Uni a révélé que Callum Picari, 22 ans, Vijayasidhurshan Vijayanathan, 21 ans, et Aza Siddeeque, 19 ans, avaient plaidé coupable d'avoir exploité ce service. Malgré les affirmations des propriétaires d'OTP Agency selon lesquelles leur service était légitime, des messages sur leur canal Telegram ont révélé que l'objectif principal était de faciliter l'accès illégal à des comptes en ligne.
Les criminels devaient payer un abonnement mensuel pour manipuler les titulaires de comptes bancaires et les amener à divulguer des codes d’accès à usage unique ou d’autres informations personnelles sensibles. Une formule de base, facturée 34 euros par semaine, permettait de contourner l'authentification multifactorielle sur des plateformes telles que HSBC, Monzo et Lloyds, offrant ainsi aux criminels la possibilité de réaliser des transactions frauduleuses en ligne.
Un plan d’élite, coûtant 435 euros par semaine, offrait l'accès à des sites de vérification Visa et Mastercard, permettant ainsi aux criminels d’accéder à des comptes bancaires personnels et de voler de l’argent. Les enquêteurs en cybersécurité de la National Crime Agency (NCA) ont commencé à surveiller le site en juin 2020 et estiment que plus de 12 500 personnes ont été ciblées entre septembre 2019 et mars 2021, date à laquelle le site a été mis hors ligne après l'arrestation des trois individus.
Bien qu'il soit difficile de déterminer le montant exact des gains générés par cette entreprise criminelle, les estimations suggèrent qu'il pourrait atteindre environ 35 000 euros si les utilisateurs avaient opté pour le plan de base, et jusqu'à 9,1 millions d’euros s'ils avaient choisi l'offre élite. Callum Picari, en tant que propriétaire, développeur, et principal bénéficiaire du service, a promu OTP Agency sur un groupe Telegram comptant plus de 2 200 membres. En octobre 2019, il a publié un message déclarant : « Premier et dernier service professionnel pour vos besoins en vol d'OTP. Nous vous garantissons des bénéfices dans les minutes suivant l'achat de notre service... ».
Il a également ajouté : « Vous avez toujours voulu obtenir un code d'accès à usage unique pour n'importe quel site web ? Eh bien, c'est désormais possible ! Avec OTPAgency, vous pouvez obtenir un OTP pour vbv, plus de 30 sites, ainsi qu'Apple Pay... et cela pour seulement 34 euros par semaine. Vous ne voulez vraiment pas manquer ça. »
Le groupe Telegram a été supprimé en février 2021 et effacé des données, mais a continué d'opérer sur un nouveau canal Telegram avant d'être définitivement mis hors ligne après l'arrestation des trois hommes. Au cours de ses 18 mois d'activité, OTP Agency a permis à ses utilisateurs de cibler plus de 12 500 personnes. Malgré la fermeture d'OTP Agency, d'autres services similaires continuent de fonctionner, notamment SMSRanger, qui sera abordé dans un prochain article. La NCA conseille de toujours vérifier les appels ou messages suspects en contactant directement son institution financière via des canaux sûrs.
Les enjeux de sécurité et la nécessité de renforcer la vigilance
Cette affaire soulève d'importantes questions sur l'efficacité des systèmes d'authentification à deux facteurs (2FA). Bien que le 2FA soit largement reconnu comme un moyen de protection essentiel pour les comptes en ligne, l'exploitation d'OTP Agency démontre que même cette couche de sécurité peut être compromise par des méthodes d'ingénierie sociale sophistiquées. Les cybercriminels derrière OTP Agency ont réussi à tromper leurs victimes en se faisant passer pour des institutions financières crédibles, les incitant ainsi à fournir volontairement leurs OTP, qui étaient ensuite interceptés via le site de l'agence.
Ce qui est particulièrement inquiétant, c'est la manière dont ce service a pu opérer pendant plus d'un an, facilitant ainsi l'accès frauduleux à un grand nombre de comptes en ligne. Le succès de cette entreprise criminelle souligne non seulement les vulnérabilités technologiques, mais aussi un manque crucial de sensibilisation des utilisateurs face aux dangers du cyberespace. L'ampleur de l'utilisation d'OTP Agency reflète une demande alarmante pour ce type de services illégaux, ce qui met en exergue la nécessité de renforcer à la fois les technologies de sécurité et l'éducation du public concernant les menaces numériques.
Le recours à l'ingénierie sociale pour obtenir ces informations sensibles souligne également l'importance pour les utilisateurs d'adopter des pratiques de vigilance renforcées. Il est essentiel que les individus apprennent à reconnaître les tentatives d'escroquerie et qu'ils sachent comment vérifier l'authenticité des communications qu'ils reçoivent, surtout lorsqu'il s'agit de données aussi critiques que les OTP.
En dépit de la fermeture d'OTP Agency et de l'arrestation de ses créateurs, la persistance d'autres services similaires, comme SMSRanger, montre que le problème reste omniprésent. Les efforts des autorités et des entreprises doivent s'intensifier pour identifier rapidement ces menaces et les neutraliser. Cela nécessite une collaboration constante et des stratégies de sécurité évolutives pour contrer ces menaces émergentes.
Cette affaire illustre non seulement les défis actuels en matière de cybersécurité, mais aussi l'importance d'une sensibilisation accrue du public pour se prémunir contre des menaces de plus en plus sophistiquées. Renforcer les systèmes de sécurité tout en éduquant les utilisateurs sur les bonnes pratiques en ligne est devenu une nécessité urgente dans un monde où les risques numériques ne cessent de croître.
Sources : Krebs on Security, National Crime Agency
Et vous ?
Comment OTP Agency a-t-il pu opérer pendant plus d'un an sans être détecté par les autorités ou les institutions financières ?
Quelles leçons peuvent être tirées pour prévenir l'émergence de services similaires à l'avenir ?
Voir aussi :
La ville de Columbus poursuit un chercheur en sécurité après sa révélation sur la gravité d'une attaque par rançongiciel, contredisant les affirmations des autorités municipales
Arrestation du PDG de Telegram Pavel Durov : les 12 lourds chefs d'accusation de l'information judiciaire diligentée par le parquet de Paris
La France subit des attaques par déni de service distribué (DDoS) à répétition depuis l'arrestation sur son sol du fondateur de Telegram, dont des hacktivistes réclament la libération