La description de la chaîne Telegram est explicite. Ici, « c’est le paradis du scam j’ai rien à dire de plus. Régale toi ». Deux émoticônes, une liasse de billets et un drapeau de pirate, suivent ces quelques lignes. Effectivement, il n’y a pas de tromperie sur cette chaîne francophone qui compte un peu moins de 300 abonnés. Sans surprise, en explorant les derniers messages envoyés, on tombe rapidement sur la vente de différentes « scama » (arnaques).
Il s’agit, par exemple, de campagnes malveillantes Chronopost, Crit’Air ou encore à la carte vitale, vendues 35 euros l’unité. Ces noms font référence à l’organisation ou à la marque usurpée. Soit autant d’attaques par smishing, cet hameçonnage par texto destiné à voler vos informations bancaires. Des « num list », ces listes de numéros de téléphones portables validés, sont également à vendre pour deux euros les 1 000 numéros. Elles sont souvent assorties de la mention Amazon. Cela signifie que les 06 ou les 07 ont été testés à la volée chez le leader mondial de l’e-commerce. C’est une manière de s’assurer qu’ils existent réellement.
Une profusion de kits de smishing
Ce genre d’offres de services illicites vous étonne ? Vous ne devriez pas. Ces chaînes, qui comptent de quelques dizaines à quelques milliers d’abonnés, pullulent sur la messagerie des frères Dourov. C’est l’un des réseaux de communication privilégié par les arnaqueurs derrière ces campagnes malveillantes qui polluent nos téléphones. Pour Thomas Damonneville, le fondateur de StalkPhish, s’il y a autant de tentatives d’arnaque, c’est parce qu’il est très simple de s’improviser hameçonneur. Il suffit d’acheter des services de fraude.
Il le soulignait lors de la dernière conférence sur la réponse aux incidents et l’investigation numérique, en avril 2023. À l’instar d’un service grand public de hameçonnage visant Microsoft 365 et repéré au printemps dernier, il existe bien une profusion de kits clés en main pour lancer des attaques de smishing. « Il y a tout un écosystème complet pour réaliser ses campagnes, ce sont des choses qui deviennent très bien faites », remarquait l’expert. Ce dernier a commencé à travailler sur ce sujet quand il était analyste en cybermenaces à l’Assurance-maladie. Le signe, soulignait-il également auprès de France Info, d’une véritable industrialisation de cette pratique. Il y a d’ailleurs toute une offre de formation, en distanciel ou en présentiel, comme des sessions proposées en région parisienne pour 250 euros.
Coût final modique
Concrètement, les arnaqueurs en herbe achètent d’abord un kit de phishing. Cette fausse page du site visé, qui va tromper l’internaute, est généralement déposée sur un espace Plesk dédié, un outil de gestion de services web populaire détourné par les arnaqueurs. La fausse page est liée à un compte bot sur Telegram qui va recevoir les résultats des données volées. Des prestataires peu regardants hébergent ce genre de page, souvent à côté d’autres campagnes du même type. Il faut ensuite compter l’achat d’un nom de domaine associé à la campagne, généralement inclus dans le package et l’achat d’une liste de numéros de téléphone.
Reste enfin à envoyer les SMS malveillants. Les arnaqueurs doivent alors soit acheter des services de spam, soit mettre la main sur des cartes SIM et leurs variantes, des eSIM virtuelles aux M2M conçues pour les objets connectés. Il existe en outre des services de « Allo », c’est-à-dire des personnes qui appellent des victimes en se faisant passer pour le support ou le service client d’une banque. Leur objectif est de récupérer les codes de double authentification pour contourner la sécurité des transactions.
Tout cela représente plusieurs services successifs à acheter. Mais, le coût d’une campagne malveillante peut se limiter à une somme très modique. Ceux qui ont déjà leur infrastructure d’envoi de SMS et leur kit de phishing peuvent ainsi lancer une attaque pour moins de dix euros. Dans le détail, cinq euros sont investis dans l’hébergement, deux euros dans le nom de domaine et enfin deux euros dans la liste d‘un millier de numéros.
Il suffit d’un petit pourcentage de victimes
À ce tarif-là, ces arnaques ont un certain succès. Il suffit d’un petit pourcentage de victimes pour que l’opération malveillante soit rentable. « Cela rapporte, mais ce n’est pas si lucratif que cela », tempère toutefois auprès de Numerama Thomas Damonneville. « Beaucoup ne font que quelques centaines d’euros par mois, et ils ont parfois du mal à blanchir leurs fonds », ajoute ce spécialiste. Parfois, les arnaqueurs doivent passer par des commandes Uber Eats pour recycler l’argent volé.
L’observation de plusieurs chaînes Telegram suggère quelques pistes sur le profil des acheteurs de ces campagnes. L’écoute de messages audios laissés montre qu’il s’agit parfois de personnes très jeunes, la plupart du temps des hommes. C’est le cas d’un jeune lycéen de 16 ans, Crnaka, récemment arrêté par la police parisienne. Il vendait des services d’infrastructure Plesk et des listes de numéros. Sur l’une de ses chaînes Telegram, il se mettait en scène dans sa salle de bain, son visage poupin masqué par son téléphone.
Toutefois, il ne faudrait pas croire que ce genre d’arnaque soit uniquement l’apanage de lycéens malhonnêtes. Dans une vieille affaire de hameçonnage par mail visant les impôts et jugée au printemps — l’opération visait à prendre le contrôle des comptes de particuliers pour ensuite demander un crédit d’impôts pour travaux –, l’enquête de police avait mis en cause deux hommes d’une quarantaine d’années. L’un d’eux n’avait pas de connaissances informatiques particulières.
L’engouement pour ce genre d’arnaques standardisées montre en creux que l’industrie des télécommunications a un sérieux problème. Si elles se diffusent autant, cela prouve que les professionnels n’ont pas encore trouvé la bonne parade. Le smishing, comme le rappelle la plateforme gouvernementale Cybermalveillance, profite d’abord des failles dans le filtrage des SMS et dans la sécurisation de la navigation sur mobile.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
