Les cybercriminels se réunissent souvent sur des forums pour faire des affaires entre eux. Ils peuvent annoncer des initiatives à venir pour lesquels ils ont besoin d'aide, vendre des bases de données contenant des mots de passe et des informations sur les cartes de crédit volés, ou encore vanter les mérites de nouvelles failles de sécurité pouvant être utilisées pour s'introduire dans les appareils ou dans les systèmes des utilisateurs. Cependant, ces transactions ne se déroulent pas toujours comme prévu.
La nouvelle recherche, publiée par la société de cybersécurité Sophos X-Ops, examine ces transactions ratées et les plaintes déposées par les gens à leur sujet. « Les arnaqueurs qui escroquent d’autres arnaqueurs sur les forums sont beaucoup plus nombreux que nous ne le pensions au départ », explique Matt Wixey, chercheur chez Sophos X-Ops.
Sophos X-Ops à enquêter sur les arnaqueurs qui escroquent d’autres arnaqueurs sur trois forums de cybercriminalité de premier plan - une recherche qui, selon eux, n'a jamais été effectuée auparavant. Voici, ci-dessous, quelques découvertes réalisées par les chercheurs de Sophos X-Ops :
- C'est un gros business - une sous-économie en soi : au cours des 12 derniers mois, les cybercriminels ont perdu plus de 2,5 millions de dollars, rien que sur ces trois forums. En fait, il s'agit d'un problème si ancien et si important que les administrateurs des forums ont créé des « salles d'arbitrage » pour que les utilisateurs puissent signaler les escroqueries, les attaques et les cybercriminels ;
- L'argent n'est pas la seule motivation, et les acteurs de la menace ne sont pas les seuls à être impliqués : des querelles personnelles, des rivalités et la volonté de détruire (ou parfois d'améliorer) des réputations peuvent donner lieu à des arnaques ;
- Les attaques vont au-delà de l'habituel rip-and-run : Sophos X-Ops déclare avoir vu des escroqueries par recommandation, de fausses fuites de données et de faux outils, du typosquattage, du phishing, des escroqueries par alt rep (l'utilisation de sockpuppets pour gonfler artificiellement les scores de réputation), de faux garants, du chantage, des comptes usurpés et des logiciels malveillants dissimulés ;
- Sophos X-Ops a trouvé des exemples de fraude à grande échelle : l'une des plus grandes surprises est venue lorsqu’elle a creusé dans cette imitation du site Genesis. Sophos X-Ops révèle avoir découvert dix-neuf autres sites, tous créés par la même personne ou le même groupe, tous imitant des places de marché criminelles et tous destinés à inciter les utilisateurs à payer des « frais d'activation » de 100 dollars ;
- Les rapports d’arnaque sont une source de renseignements riche et sous-explorée : les acteurs de la menace savent que les forums criminels sont surveillés et, par conséquent, ils mettent souvent en place une bonne sécurité. Comme les règles des forums exigent des preuves pour étayer les allégations d’arnaque, les acteurs de la menace lésés sont souvent heureux de publier des captures d'écran de conversations privées et de code source, des identifiants, des transactions, des journaux de discussion et des comptes-rendus détaillés de négociations, de ventes et de dépannage.
Cette sous-économie cachée n'est pas seulement une curiosité. Elle donne un aperçu de la culture des forums, de la manière dont les acteurs de la menace achètent et vendent, de leurs priorités tactiques et stratégiques, de leurs rivaux et alliances, de leur sensibilité à la tromperie, ainsi que des renseignements spécifiques et discrets les concernant.
Au cours des prochaines semaines, nous partagerons les résultats de notre enquête approfondie sur ce sujet, en commençant par une vue d'ensemble des forums concernés, de la manière dont ils traitent les escroqueries, de qui escroque qui, et de la taille de la sous-économie.
Les escroqueries se présentent sous de multiples formes. Certaines sont simples, d'autres sont plus sophistiquées. Selon Wixey, les escroqueries de type "rip-and-run" sont fréquentes : l'acheteur ne paie pas ce qu'il a reçu ou le vendeur reçoit l'argent mais n'envoie pas ce qu'il a vendu. (D'autres types d'escroqueries consistent à falsifier des données ou à exploiter des failles de sécurité qui ne fonctionnent pas : Sur BreachForums, une personne a affirmé qu'un vendeur avait essayé de lui envoyer des données Facebook qui étaient déjà publiques.
Lors d'un incident extrême sur le forum Exploit, un utilisateur a posté une plainte selon laquelle il avait fourni à quelqu'un un exploit pour le noyau Windows et n'avait pas été payé les 130 000 dollars prévus. L'acheteur a dit qu'il paierait une fois qu'il aurait testé le logiciel, mais il n'a jamais versé l'argent. « À chaque étape, il a donné différentes excuses pour retarder le paiement ».
Dans certaines escroqueries, plusieurs comptes ou personnes semblaient travailler ensemble, selon l'étude. Un utilisateur ayant une bonne réputation peut présenter une personne à une autre. Ce complice dirige alors la victime vers un site Web d'escroquerie. Dans un cas, explique Wixey, un utilisateur voulait acheter une fausse copie du jeu Axie Infinity, axé sur le NFT. « Ils voulaient une fausse copie de ce jeu dans le but de siphonner les fonds d'un utilisateur légitime », explique Wixey. « Ils ont acheté cette fausse copie à quelqu'un d'autre, et la fausse copie contenait une porte dérobée qui a ensuite volé la cryto précédemment volée. »
Bien qu'il ne devrait pas être surprenant que les criminels essaient souvent de s'escroquer les uns les autres - il n'y a pas d'honneur parmi les cybercriminels, après tout - la recherche montre à quel point cela est répandu. En 2017, la société de sécurité Digital Shadows a signalé une base de données qui avait été créée pour nommer et faire honte aux arnaqueurs connus.
De même, en 2021, la firme a découvert que certains administrateurs de forums sur la cybercriminalité arnaquent leurs propres clients. Selon la société de renseignement sur les menaces, Analyst1, au cours de la dernière décennie, des milliers de plaintes ont été déposées contre des criminels qui s'escroquent mutuellement. Parallèlement, une analyse précédente de TrendMicro a conclu que si les forums et les marchés ont des règles, celles-ci ne dissuadent pas les arnaqueurs. « Les auteurs sont généralement ceux qui privilégient les profits rapides à la réputation », indique la recherche 2019 de la firme.
On peut soutenir que l'arnaque la plus organisée que Sophos a repérée découle d'une enquête sur la plateforme Genesis, qui est en ligne depuis 2017 et vend des détails de connexion d'hôtels, des cookies et des accès aux données de systèmes compromis. Lors de ses recherches sur Genesis, Sophos a découvert une version falsifiée du site Web apparaissant en bonne place dans les résultats de recherche de Google. « C'est un cas vraiment bizarre, déclare Wixey. C'était un modèle WordPress vraiment basique et il demandait de l'argent, alors que le vrai Genesis est uniquement sur invitation. »
Un résumé de 12 mois de rapports d'escroquerie (les montants en USD)
En plus de ne pas ressembler à la plateforme officielle de Genesis, la version truquée présentait d'autres détails inquiétants : elle était liée à un autre site Web de cybercriminalité, l'adresse Bitcoin à laquelle les gens pouvaient effectuer des paiements changeait lorsque quelqu'un cliquait sur le bouton copier-coller du site Web.
Selon Wixey, ces signes indiquaient que le faux site pouvait être un effort « coordonné ». Grâce aux détails du faux site Web de Genesis, y compris des parties du texte et des adresses de crypto-monnaies, les chercheurs ont découvert 20 sites Web qui semblent tous être reliés et gérés par le même groupe ou individu. Les sites Web se ressemblent tous et ont été enregistrés entre août 2021 et juin 2022 - huit d'entre eux seraient encore actifs.
Selon Wixey, la quasi-totalité de ces sites imitent tentent d'inciter les gens à payer pour y accéder. L'arnaque semble bien fonctionner. Selon le chercheur, les adresses Bitcoin payées par les sites d'escroquerie ont reçu collectivement 132 000 dollars, bien qu'il soit prudent de dire que l'argent peut provenir entièrement des faux sites Web. Sophos semble avoir trouvé un utilisateur menaçant qui pourrait être à l'origine de ces sites, un acteur connu sous le nom de "waltcranston". Parmi plusieurs informations reliant ce pseudonyme aux sites, une personne portant ce nom d'utilisateur a affirmé avoir créé les faux marchés sur un autre forum.
Étant donné que les personnes qui se plaignent d'arnaques doivent publier des preuves pour étayer leurs affirmations, elles partagent souvent des captures d'écran contenant plus d'informations personnelles qu'elles ne l'auraient souhaité. Sophos dit avoir vu un "trésor" de données, notamment des adresses de cryptomonnaies, des identifiants de transaction, des adresses électroniques, des noms de victimes, certains codes sources de logiciels malveillants et d'autres informations. Tous ces détails peuvent permettre de découvrir plus d'informations sur les personnes qui se cachent derrière les noms d'utilisateur ou fournir des indices sur leur mode de fonctionnement.
Dans une plainte pour escroquerie, un utilisateur a partagé une capture d'écran montrant les noms d'utilisateur Telegram, les adresses électroniques, les noms de chat Jabber, ainsi que les noms d'utilisateur Skype et Discord d'une personne. Dans d'autres, les adresses IP et les pays où les utilisateurs peuvent être situés sont affichés. Les captures d'écran révèlent les logiciels utilisés, ainsi que les sites Web visités et des détails sur la configuration de l'ordinateur.
Les cybercriminels, de par la nature de leurs activités, sont généralement très prudents lorsqu'il s'agit de partager des informations susceptibles de les identifier. Ils n'utilisent pas leur vrai nom, mais plutôt des services d'anonymisation tels que Tor. Pour l’enquête, Sophos X-Ops a examiné les arnaques sur deux des plus anciens et des plus importants forums de cybercriminalité en langue russe, Exploit et XSS. Elle a également inclus les arnaques de BreachForums, le successeur de RaidForums, lancé en avril 2022.
Les forums d'arnaques
Exploit est relativement exclusif et est une plateforme populaire pour les annonces d'accès en tant que service (AaaS), où les courtiers en accès initial (IAB) vendent l'accès à des réseaux compromis. Les acteurs de la menace y achètent et vendent également beaucoup d'autres contenus illicites : logiciels malveillants, fuites de données, journaux d'informateurs, informations d'identification, etc. Historiquement, les groupes et les affiliés de cybercriminels fréquentaient Exploit, bien que cela soit devenu plus secret après l'attaque Colonial Pipeline en 2021, lorsqu’Exploit et XSS ont publiquement interdit les discussions sur les rançongiciels pour éviter toute attention négative.
Aujourd'hui, le recrutement d'affiliés se poursuit sur les deux forums, bien qu'il tende à se faire sous couvert d'euphémismes tels que "pentesters". XSS, anciennement connu sous le nom de DaMaGeLaBs, est également bien établi, bien que l'adhésion soit moins exclusive que celle d'Exploit. Il héberge également de nombreuses listes d'AaaS et divers autres contenus.
Enfin, BreachForums est le successeur de RaidForums, une plateforme qui a fonctionné pendant sept ans avant d'être saisie par les forces de l'ordre au début de l'année 2022. Comme RaidForums, BreachForums est un forum et une plateforme spécialisée dans les fuites de données, notamment les données personnelles, les cartes de crédit, les informations d'identification et les documents d'identité. Ces trois sites disposent de zones d'arbitrage dédiées - Exploit (avec environ 2500 escroqueries signalées) et XSS (avec environ 760) en ont depuis le milieu des années 2000, et BreachForums depuis sa création en avril 2022. D'autres plateformes comme Verified, en possèdent également.
S'il y a une chose à retenir de tout cela, c'est qu'aucun utilisateur n'est à l'abri ; bien que des mesures proactives (avertissements, plugins, garants) et réactives aient été mises en place, les cybercriminels sont non seulement au courant, mais - à en juger par les données de Sophos X-Ops, l'une des raisons de leur succès est la diversité même des arnaques qu'ils proposent.
Source : Sophos
Et vous ?
Quel est votre avis sur le sujet ?
Comment cette réalité affecte-t-elle l'écosystème du numérique ?
Quelle est selon vous, l'intérêt des résultats de la recherche effectuée par Sophos ?
Voir aussi :
L'activité des cybermenaces continue de croître au troisième trimestre 2022 : les variantes du malware Kryptik ont augmenté de 236,22 % et l'activité des botnets a grimpé de 35,39 %, selon Nuspire
67 % des entreprises perdent des contrats en raison de problèmes de stratégie de sécurité et 91 % des professionnels admettent qu'ils doivent s'aligner aux exigences de sécurité des clients
Les entreprises modifient leur approche de la sauvegarde pour faire face aux risques liés au cloud, 98 % d'entre elles ont désormais recours aux infrastructures BaaS et DRaaS pour protéger les données