Technologie
Une Escroquerie en Plein Essor
Smith a exploré Reddit et d’autres plateformes en ligne pour identifier des utilisateurs signalant des arnaques ainsi que les URL associées, qu’il a ensuite publiées. Selon lui, certains sites web exploitant les outils du groupe Smishing Triad recueillaient quotidiennement des milliers d’informations personnelles. Parmi les données demandées figuraient les noms, adresses, numéros de cartes de paiement et codes de sécurité, numéros de téléphone, dates de naissance et sites bancaires. Un tel niveau d’information permet à un escroc d’effectuer des achats en ligne avec les cartes de crédit. Bien que la femme de Smith ait rapidement annulé sa carte, il a remarqué que les escrocs ont continué à tenter de l’utiliser, par exemple, pour des services comme Uber. Le chercheur a constaté qu’en revenant sur un site après quelques heures, il trouvait des centaines de nouveaux enregistrements.
Collaboration avec les Autorités
Smith a transmis les informations à une banque qui l’avait contacté après avoir pris connaissance de ses premiers articles de blog. Il a choisi de ne pas révéler le nom de cette banque. Il a également signalé les incidents au FBI et a ensuite fourni des informations au Service d’Inspection Postale des États-Unis (USPIS).
Michael Martel, responsable de l’information publique au sein de l’USPIS, a déclaré que les données fournies par Smith sont intégrées dans une enquête en cours et que l’agence ne peut pas commenter des détails spécifiques. « L’USPIS s’engage activement à protéger le peuple américain, à identifier les victimes et à rendre justice aux acteurs malveillants », a affirmé Martel, en soulignant l’importance de savoir reconnaître et signaler les arnaques liées à la livraison de colis.
Les Dilemmes de la Recherche
Au départ, Smith était réticent à rendre ses recherches publiques, car ce type de « réaction » se situe dans une zone grise : cela pourrait enfreindre la loi américaine sur la fraude et les abus informatiques, mais il agit contre des criminels basés à l’étranger. Ce n’est pas la première fois, ni la dernière, qu’une telle démarche est entreprise.
Une Escroquerie Multiforme
Le Smishing Triad est particulièrement actif. En plus d’utiliser des services postaux comme appâts pour leurs arnaques, ce groupe de langue chinoise a ciblé les banques en ligne, le commerce électronique et les systèmes de paiement aux États-Unis, en Europe, en Inde, au Pakistan et aux Émirats Arabes Unis, selon Shawn Loveland, directeur des opérations de Resecurity, qui suit ce groupe de manière constante.
Une Stratégie de Communication Efficace
Selon les recherches de Resecurity, le Smishing Triad envoie entre 50 000 et 100 000 messages par jour. Les messages d’escroquerie sont diffusés via SMS ou iMessage d’Apple, ce dernier étant chiffré. Loveland explique que le groupe se compose de deux équipes distinctes : une petite équipe dirigée par un hacker chinois qui crée, vend et maintient le kit de smishing, et un second groupe qui achète cet outil d’escroquerie. (Un accès arrière dans le kit permet au créateur de consulter les détails des administrateurs utilisant le kit, comme l’indique Smith dans un article de blog.)
Un Modèle Économique Rentable
« L’opération est très mature », déclare Loveland. Le groupe propose le kit d’escroquerie sur Telegram pour un abonnement mensuel de 200 dollars, personnalisable pour imiter l’organisation que les escrocs tentent de reproduire. « L’acteur principal est chinois et communique en langue chinoise », précise Loveland. « Ils ne semblent pas cibler des sites ou utilisateurs de langue chinoise. » (Dans ses échanges avec le contact principal sur Telegram, l’individu a affirmé à Smith qu’il était étudiant en informatique.)
Le coût relativement bas de l’abonnement mensuel pour le kit de smishing suggère qu’avec le volume de détails de cartes de crédit collectés, ceux qui l’utilisent réalisent probablement des bénéfices significatifs. Loveland souligne que l’utilisation de messages texte qui envoient immédiatement une notification est une méthode de phishing plus directe et plus efficace que l’envoi d’e-mails contenant des liens malveillants.
Une Augmentation des Cas de Smishing
En conséquence, le smishing a connu une augmentation ces dernières années. Cependant, certains signes peuvent alerter : si vous recevez un message d’un numéro ou d’un e-mail inconnu, s’il contient un lien à cliquer, ou s’il vous demande d’agir de manière urgente, il est prudent de rester vigilant.
