Lumières sur la sécurité

vendredi 17 février 2023

Dans cette publication du projet Lumières sur la sécurité, nous voulons partager avec nos lecteurs une histoire vraie sur la façon dont une personne est devenue un " appât " pour des escrocs en ligne. La technique de cette tromperie est simple, mais en même temps suffisamment remarquable pour lui consacrer cette publication. Dans nos numéros, nous abordons souvent le sujet de la fraude en ligne, car, malheureusement, le nombre de ces incidents reste constamment élevé. Les utilisateurs trop crédules ou inexpérimentés sont une cible favorite des pirates. Dans le même temps, les fraudeurs continuent d'utiliser essentiellement les mêmes astuces, ne changeant que le décor. Comme le dit l’adage, pourquoi changer ce qui fonctionne ?

Nous avons conservé l'histoire dans l'ordre chronologique, sans indiquer où se situe la fraude. Nous commenterons les principales méthodes des attaquants seulement à la fin. Nous sommes sûrs que la plupart de nos lecteurs détecteront la tromperie dès la première étape, mais il sera intéressant pour eux d'observer le déroulement des événements en détail. L'autorisation de publier l'histoire du héros de cet article nous a été transmise, pour des raisons évidentes de confidentialité, tous les noms ont été modifiés et toutes les correspondances sont accidentelles.

Première étape : une rencontre inattendue

Mark mène une vie que l’on pourrait qualifier de « normale ». Il a pu mettre de l'argent de côté et a le désir d'investir. Il a également du temps libre qui lui permet d’avoir d’autres activités.

Un jour, Mark reçoit un SMS d'un numéro chinois, dans lequel une certaine fille nommée Marta dit en russe que sa sœur Elisa cherche des amis, car elle viendra très bientôt en Russie. Marta suggère d'écrire à Elisa sur Telegram et elle joint un lien vers le profil de sa sœur dans le messager. Mark n’est pas coutumier de ce type d’interactions, mais cette fois, il est curieux. Il convient de noter qu’il apparaît assez clair que le message original a été traduit du chinois vers le russe à l'aide d'un traducteur automatique. La photo de profil d'Elisa montre une fille dont le visage n’est pas visible, car la photo a été prise de dos.

Mark écrit à Elisa et est agréablement surpris de sa réponse rapide. Une correspondance s'ensuit, Elisa utilisant clairement un traducteur en ligne. Parfois, elle envoie des hiéroglyphes par erreur, oubliant apparemment de traduire le texte en russe. Il s’avère qu'elle est une designer à succès à Hong Kong, et qu'elle vient en Russie pour affaires. Au cours des échanges, Elisa explique qu'elle gagne très bien sa vie car elle possède sa propre boutique sur la plateforme de trading chinoise Shein, dont la gamme de produits est très large. À en juger par la conversation, la jeune femme apprécie Mark et lui suggère d'ouvrir son propre magasin, car la plateforme commence à coopérer avec des utilisateurs russes. Elle amène la proposition de façon à ce que Mark pense qu’il s’agit d’un privilège auquel elle lui permet d’accéder, comme si l’ouverture d’une boutique sur la plateforme n’était pas possible pour « n’importe qui ». Flatté, Mark accepte, d’autant que d’après les dires d’Elisa, cette opération peut s’avérer lucrative sans risques. Elisa lui envoie un lien vers un site de marché et lui montre comment utiliser la plateforme. Tout est prêt.

Deuxième étape : démarrage de la boutique

Elisa décrit brièvement les étapes. Tout d'abord, Mark doit s'enregistrer sur le site et ouvrir sa propre boutique. Après cela, il peut mettre en vente les biens mis à sa disposition sur la plateforme et attendre les commandes. Les clients vont commander tel ou tel produit, et la tâche de Mark est de traiter la commande. Le système consiste à acheter des biens à un coût d'environ 30% inférieur à leur valeur nominale, puis de les revendre à leur prix « plein » sur la plateforme en ligne. Une fois que le colis est parvenu au destinataire, la commande est clôturée et le coût total de la marchandise est crédité sur le compte de Mark, que l'acheteur paie à réception. Avec ce système, il est en théorie possible de réaliser un bon profit ! Par exemple, les revenus d'une commande à 200€ sont de 60€, puisque Mark a acheté le produit 140€. En cumulant plusieurs commandes par jour, le résultat mensuel peut être intéressant. Pour enregistrer un magasin, il est nécessaire d'obtenir un identifiant personnel, donc une pièce d'identité est exigée. Elisa explique qu'une copie scannée du passeport russe peut être téléchargée sur le site. Lorsque tout est prêt, Mark commence à travailler et Elisa reste en contact avec lui pour l’aider à faire ses premiers pas dans cette entreprise.

Après que Mark a enregistré son magasin, Elisa lui donne le contact du support technique officiel de Shein, qui aide les vendeurs à résoudre divers problèmes. La communication avec des experts est également effectuée sur Telegram. De toute évidence, il s’agit également de citoyens chinois, car ils communiquent de la même manière - via un traducteur en ligne.

Enfin, il est temps de déposer la première partie des fonds personnels afin de traiter la commande entrante. La commande n’est pas importante, donc le montant est insignifiant. Le support technique explique à Mark en détail comment recharger son compte et déposer de l'argent. Cela s’effectue via un compte personnel sur le site, via un mode de paiement spécialisé. Un employé du support conseille également Mark sur la façon de soumettre une demande de retrait. Pour plus de commodité, tous les transferts entrants sont effectués directement sur la carte.

La première transaction fonctionne, et le montant promis est crédité sur le compte de Mark sur le site. Bien sûr, comme toute personne sensée, Mark décide d'essayer de retirer cet argent afin de tester le fonctionnement du système. Après avoir consulté le support, il effectue toutes les étapes nécessaires sur le site. Et le montant correspondant arrive effectivement sur son compte de carte. « Le schéma fonctionne ! » - pense Mark, et maintenant en toute confiance, il continue à travailler. Elisa, quant à elle, entretient son intérêt en partageant ses succès.

Troisième étape : premières difficultés

Deux semaines se sont écoulées depuis le début de la coopération avec la plateforme. Mark a investi un montant important de fonds personnels, mais dans le même temps, son solde virtuel a été reconstitué de manière assez significative. Les commandes continuent d'arriver régulièrement, et il faut « traiter » des marchandises de plus en plus chères. Mark essaie de gérer son magasin avec compétence, mais à un moment donné, seuls des produits coûteux sont disponibles, à tel point, qu'il ne peut plus en racheter. Le support technique informe Mark que le fait de ne pas traiter les commandes entraîne de nombreuses plaintes de la part des clients. Comme solution, il lui est proposé de fermer le magasin, puis de retirer l'argent et les bénéfices investis, puis d'ouvrir un nouveau magasin et un nouveau compte sur le site. Par l'intermédiaire d'un employé du support technique, Mark demande la fermeture du magasin et le retrait des fonds. Elisa, de son côté, n'arrête pas de lui demander comment vont les choses s'il a réussi à obtenir sa première grosse somme d'argent sur le marché.

Je propose d'attendre que toutes les marchandises soient livrées, de retirer tous les fonds sur une carte bancaire, puis de rouvrir le magasin.

Bonjour, votre colis a été entièrement livré et vous pouvez maintenant initier le retrait de tous les fonds. Puis rouvrez un magasin, je vous aiderai à fermer l'ancien magasin.

Le personnel financier vient de m'informer que votre demande de retrait a été acceptée et que la banque peut vous transférer l'argent après avoir payé l'impôt sur le revenu des personnes physiques. L'impôt sur le revenu des personnes physiques correspond à un taux de 20% des bénéfices.

Je demanderai au responsable des finances de vous envoyer un numéro d'identification fiscale plus tard. Ensuite, vous pouvez payer. Vous devez payer l'impôt sur le revenu.

Ce qui précède cite certains des messages que Mark a reçus après la demande de fermeture du magasin. Ainsi, il a dû payer une commission importante afin de recevoir non seulement des bénéfices, mais également son propre argent, dépensé pour le traitement des commandes. À ce stade, Mark commence pour la première fois à vraiment douter de ceux à qui il a envoyé son argent. Mais il ne peut rien faire et il décide de risquer une plus petite somme, il s’est pris malgré tout au jeu.

Un résultat prévisible

Après avoir payé la commission, Mark écrit au support technique et attend un transfert entrant sur sa carte. En réponse, il reçoit un message indiquant que son transfert a été reçu et qu'il doit maintenant attendre 24 heures. Elisa, cependant, a continué à rester en contact avec lui et lui dit qu'il n’a rien à craindre. Le lendemain, Mark écrit de nouveau au support, mais ne reçoit aucune réponse. 24 heures se sont écoulées et il n'y a eu aucun mouvement sur sa carte. Elisa a également cessé de répondre, bien qu'elle ne l'ait pas ajouté à sa liste noire. Le compte personnel sur le site a continué à proposer des commandes, ainsi qu'à afficher son solde virtuel. Quelques jours plus tard, le site, comme prévu, a cessé de s'ouvrir, et Elisa et le support technique ont cessé d'accéder au messager. Le piège s'est refermé en même temps que le premier transfert entrant depuis le portefeuille Kiwi, simulant le retrait de fonds.

Explications

Oui, oui, vous avez bien lu. Le transfert entrant, présenté comme un retrait, a été effectué à partir d'un portefeuille Kiwi. Déjà à ce stade, on pouvait soupçonner que quelque chose n'allait pas, mais le fait est que dans tout le schéma il y avait des dizaines de signes criant littéralement que tout cet événement était une arnaque. Le cas décrit est remarquable en ce que notre héros a violé littéralement tous les commandements de base de la sécurité Internet. Jetons un coup d'œil à certains de ces signes.

La première chose qui attire votre attention est, bien sûr, un spam provenant d'un numéro chinois. Dans le cas de Mark, c'est l'ingénierie sociale qui a fonctionné - après tout, les escrocs ne sont pas allés directement au front avec la promesse de gains gigantesques directement dans les SMS. On observe ici une approche plus " créative " et un travail plus individuel avec la victime. Bien sûr, les escrocs n'étaient pas chinois. En enregistrant plusieurs comptes Telegram liés à des numéros chinois virtuels, les attaquants se faisaient passer pour des Chinois avec qui vous pouviez communiquer, par exemple, sur AliExpress. A notre avis, ils se trahissaient pourtant par des signes de ponctuation, disposés, entre autres, selon les règles typiques de la langue russe (bien qu'avec des erreurs). La meilleure solution pour Mark aurait été de supprimer le message à la première étape, et de signaler un spam.

La deuxième particularité est l'activité de la personne nommée Elisa qui « s’occupe » de la victime. Avant de lancer son offre « unique », l’escroc entame un échange « normal » et gagne la confiance de la victime. Une approche intéressante consiste à copier des hiéroglyphes aléatoires dans le chat. Cela semble renforcer la certitude de la victime qui pense être en communication avec la vraie Elisa de Chine. Mark a fait confiance à l’escroc parce qu’il ne doutait pas de l’existence d’Elisa. Après cela, l’offre est considérée par Mark non pas comme une arnaque évidente, mais comme une opportunité. À ce stade, la victime est déjà accrochée.

Dès qu’il est devenu évident qu’il était possible de travailler avec la victime, les escrocs ont envoyé un lien vers un site de phishing se faisant passer pour la plateforme de trading Shein. Le signe le plus évident de tromperie est l’URL du site : ussheim668[.]com. Ici, nous voyons une adresse de site de phishing typique. Mais, comme mentionné ci-dessus, à ce stade, la victime a cessé de penser de manière critique. De plus, le manque de connaissances de base en matière de sécurité sur Internet a eu des conséquences. En cliquant sur un tel lien, Mark a violé la première règle de comportement sur le réseau - ne pas suivre les liens suspects.

Maintenant, à propos du site lui-même. Il était déguisé en site officiel de la plateforme Shein, mais a été fait extrêmement maladroitement. Par exemple, dans la section dédiée à la politique de confidentialité, il y avait du texte volé sur le site Web d’Adidas. Le changement de langue ne fonctionnait pas bien. Le lien vers l’application prétendument officielle menait à une page séparée, qui était déguisée en AppStore. Dans le même temps, sur la page, l’utilisateur était invité à télécharger un fichier APK pour installer une fausse application sur Android. La même page s’ouvrait lors de la demande d’une application pour les appareils Apple, ce qui est absurde.

Malgré tout, les pirates ont réussi à créer une ressource globalement assez plausible. Il y a un catalogue de marchandises avec navigation de base, un panier, une inscription, ainsi qu’un compte personnel, tous ces éléments fonctionnant. Il convient de rappeler que, en règle générale, seules les fonctions que la victime utilisera réellement fonctionnent sur les sites de phishing. Dans notre cas, le calcul des attaquants était que personne ne lirait le texte de la politique de confidentialité, et que la victime était déjà « ferrée » à ce stade. Enfin, selon le service whois, le site était enregistré auprès d’une entité juridique malaisienne, et non d’une entité privée (personne physique). Au moment du début de la « coopération » avec Mark, la ressource de phishing a fonctionné pendant environ deux semaines.

Dans le cas de Mark, les escrocs ont réussi à voler non seulement de l’argent, mais également les données du passeport de la victime. Comme décrit ci-dessus, pour enregistrer le magasin, Mark devait télécharger un document d’identité, prétendument pour créer un identifiant personnel. Comme Elisa a directement aidé la victime à s’enregistrer, elle a souligné que Mark devait télécharger son vrai document et qu’il pourrait s’agir d’un passeport. De plus, dans le profil créé, la victime pouvait indiquer des liens vers ses comptes sur les réseaux sociaux. En conséquence, un ensemble important de données recueillies par les intrus a été obtenu. Il est à noter que dans le champ de chargement du document, il était possible de charger n’importe quel fichier texte. Le site n’a pas vérifié le fichier téléchargé, la vérification d’autres données saisies, telles que l'adresse email, n'a pas eu lieu non plus. Cela signifie qu’il ne devrait pas y avoir de personnes « aléatoires » sur la plateforme - toutes les victimes étaient dirigées personnellement par des escrocs.

Le schéma de travail dans le compte personnel est également remarquable. Toutes les victimes ont été dirigées selon le même scénario – partir de produits bon marché pour arriver à des produits coûteux. Le site avait un seul script, qui a finalement généré des biens de plus en plus chers. La solution est « élégante » en ce sens que les revenus des fraudeurs dépendaient de la solvabilité de la victime. « Elisa » et « support technique » ont travaillé avec Mark en parallèle de sorte qu’il n’avait pas le temps de soupçonner que quelque chose n’allait pas.

Il convient de mentionner en particulier le mécanisme de recharge du solde virtuel. Pour ce faire, la victime était redirigée vers un site particulier, qui était déguisé en passerelle de paiement. En fait, c’était une page statique contrôlée par les pirates. La victime entre le montant du réapprovisionnement, après quoi la page génère un numéro de carte et propose de transférer ce montant par numéro de carte à une personne privée par l’intermédiaire de sa banque. Ainsi, Mark a violé la deuxième règle - ne pas envoyer de transferts d’argent à des inconnus. Dans le même temps, différents numéros de carte ont été générés pour chaque demande, et après le virement, les numéros de carte n’étaient plus disponibles dans les documents de paiement de la banque.

Dans leur stratagème, les fraudeurs ont également utilisé une astuce typique : pour le mettre en confiance, ils ont permis à la victime de retirer une petite somme d’argent. Après s’être assuré que tout fonctionnait, Mark a envoyé son argent aux attaquants avec plus de confiance. Bien sûr, il a perdu tous les transferts ultérieurs.

Enfin, Mark a violé la troisième règle – il a transféré de l’argent pour payer une commission afin de " sauver " l’argent investi. Les fraudeurs connaissent la psychologie et ont délibérément indiqué clairement que le non-paiement de la commission entraînerait la perte de l’argent sur le solde virtuel. Ils lui ont mis la pression. Dans cette situation, il est également très difficile de faire preuve d’esprit critique et de se rappeler que la commission est en général prise en compte automatiquement dans le transfert. Dans cette histoire, Mark s’est retrouvé face à une opportunité qu’il n’attendait pas et a décidé de tenter sa chance. Cette technique peut être appelée une astuce classique, qui, hélas, fonctionne toujours parfaitement.

Les stratagèmes frauduleux utilisant de faux marchés sont récemment devenus très courants. Dans cet article, nous avons décrit un cas réel pour montrer en détail comment la tromperie de la victime se produit. Nous vous laissons imaginer l’ampleur de ces cybercrimes. Dans le contexte de la situation économique actuelle, il est possible de prédire une nouvelle croissance des fraudes sur Internet, car beaucoup de personnes recherchent des moyens de gagner de l’argent supplémentaire, ce que les attaquants utilisent, offrant des moyens faciles d’augmenter le capital.