L'appel téléphonique entrant clignote sur le téléphone d'une victime. Il ne dure peut-être que quelques secondes, mais peut se terminer par la victime remettant des codes qui donnent aux cybercriminels la possibilité de pirater leurs comptes en ligne ou de vider leurs portefeuilles de crypto et numériques.

“C'est l'équipe de sécurité PayPal. Nous avons détecté une activité inhabituelle sur votre compte et nous vous appelons par mesure de précaution”, dit la voix robotique de l'appelant. “Veuillez entrer le code de sécurité à six chiffres que nous avons envoyé sur votre appareil mobile.”

La victime, ignorante des intentions malveillantes de l'appelant, tape sur son clavier téléphonique le code à six chiffres qu'elle vient de recevoir par SMS.

“Attrapez ce boomer !” indique un message sur la console de l'attaquant.

Dans certains cas, l'attaquant peut également envoyer un e-mail d'hameçonnage dans le but de capturer le mot de passe de la victime. Mais le plus souvent, ce code de leur téléphone est tout ce dont l'attaquant a besoin pour accéder au compte en ligne de la victime. Au moment où la victime met fin à l'appel, l'attaquant a déjà utilisé le code pour se connecter au compte de la victime comme s'il était le véritable propriétaire.

Depuis mi-2023, une opération d'interception appelée Estate a permis à des centaines de membres de réaliser des milliers d'appels téléphoniques automatisés pour tromper les victimes en entrant des codes à usage unique, a appris TechCrunch. Estate aide les attaquants à contourner les mesures de sécurité telles que l'authentification multi-facteurs, qui reposent sur un code à usage unique envoyé sur le téléphone ou par e-mail d'une personne ou généré à partir de leur appareil à l'aide d'une application d'authentification. Les codes à usage unique volés peuvent donner aux attaquants l'accès aux comptes bancaires, aux cartes de crédit, aux portefeuilles de crypto et numériques et aux services en ligne des victimes. La plupart des victimes se trouvent aux États-Unis.

Mais un bug dans le code d'Estate a exposé la base de données en back-end du site, qui n'était pas chiffrée. La base de données d'Estate contient des détails sur le fondateur du site et ses membres, ainsi que des journaux détaillés de chaque attaque depuis le lancement du site, y compris les numéros de téléphone des victimes ciblées, quand et par quel membre.

Vangelis Stykas, un chercheur en sécurité et directeur de la technologie chez Atropos.ai, a fourni la base de données d'Estate à TechCrunch pour analyse.

La base de données en back-end offre un aperçu rare du fonctionnement d'une opération d'interception de codes à usage unique. Des services comme Estate font la publicité de leurs offres sous couvert de fournir un service apparemment légitime permettant aux professionnels de la sécurité de tester la résilience aux attaques d'ingénierie sociale, mais se situent dans une zone grise légale car ils permettent à leurs membres d'utiliser ces services pour des cyberattaques malveillantes. Dans le passé, les autorités ont poursuivi les opérateurs de sites similaires dédiés à l'automatisation des cyberattaques pour avoir fourni leurs services à des criminels.

La base de données contient des journaux de plus de 93 000 attaques depuis le lancement d'Estate l'année dernière, ciblant des victimes disposant de comptes chez Amazon, Bank of America, Capital One, Chase, Coinbase, Instagram, Mastercard, PayPal, Venmo, Yahoo (qui possède TechCrunch) et bien d'autres.

Certaines des attaques montrent également des efforts pour pirater des numéros de téléphone en effectuant des attaques de swap SIM, et menacent de doxer les victimes.

Le fondateur d'Estate, un programmeur danois dans la vingtaine, a déclaré à TechCrunch par e-mail la semaine dernière : « Je n'exploite plus le site. » Le fondateur, malgré les efforts pour dissimuler les opérations en ligne d'Estate, a mal configuré le serveur d'Estate, exposant son emplacement réel dans un centre de données aux Pays-Bas.

Estate se présente comme capable de « créer des solutions OTP sur mesure qui correspondent parfaitement à vos besoins », et explique que « notre option de script personnalisé vous met aux commandes. » Les membres d'Estate accèdent au réseau téléphonique mondial en se faisant passer pour des utilisateurs légitimes pour obtenir un accès aux fournisseurs de communications en amont. Un des fournisseurs était Telnyx, dont le directeur général David Casem a déclaré à TechCrunch que l'entreprise a bloqué les comptes d'Estate et qu'une enquête était en cours.

Malgré le fait qu'Estate veille à ne pas utiliser de langage explicite pouvant inciter ou encourager des cyberattaques malveillantes, la base de données montre qu'Estate est utilisé presque exclusivement à des fins criminelles. « Ces services constituent l'épine dorsale de l'économie criminelle », a déclaré Allison Nixon, directrice de la recherche chez Unit 221B, une société connue pour enquêter sur les groupes de cybercriminels. « Ils rendent les tâches lentes efficaces. Cela signifie que plus de personnes reçoivent des escroqueries et des menaces en général. Plus de personnes âgées voient leur retraite disparaître à cause de la criminalité, comparé aux jours avant l'existence de ces types de services. »

Comment Estate fonctionne

Estate a tenté de se faire discret en cachant son site aux moteurs de recherche et en intégrant de nouveaux membres par le bouche-à-oreille. Selon son site web, les nouveaux membres ne peuvent se connecter à Estate qu'avec un code de parrainage d'un membre existant, ce qui maintient le nombre d'utilisateurs faible pour éviter d'être détecté par les fournisseurs de communications en amont sur lesquels Estate s'appuie.

Une fois à l'intérieur, Estate fournit aux membres des outils pour rechercher les mots de passe de compte compromis de leurs futures victimes, laissant les codes à usage unique comme seul obstacle pour pirater les comptes cibles. Les outils d'Estate permettent également aux membres d'utiliser des scripts personnalisés contenant des instructions pour tromper les cibles afin qu'elles remettent leurs codes à usage unique.

Certains scripts d'attaque sont conçus au lieu de valider les numéros de carte de crédit volés en trompant la victime pour qu'elle remette le code de sécurité au dos de sa carte de paiement.

D'après la base de données, l'une des plus grandes campagnes d'appels sur Estate ciblait des victimes plus âgées en partant du principe que les « boomers » sont plus susceptibles de répondre à un appel téléphonique non sollicité que les générations plus jeunes. La campagne, qui représentait environ un millier d'appels téléphoniques, s'appuyait sur un script qui tenait l'attaquant informé de chaque tentative d'attaque.

« Le vieux a répondu ! » s'affichait dans la console lorsque leur victime répondait à l'appel, et « Débranchement du support vital » s'afficherait lorsque l'attaque réussissait.

La base de données montre que le fondateur d'Estate est conscient que sa clientèle est largement composée d'acteurs criminels, et Estate a depuis longtemps promis la confidentialité à ses membres.

« Nous ne conservons aucune donnée et nous n'exigeons aucune information personnelle pour utiliser nos services », lit-on sur le site d'Estate, reniant les contrôles d'identité que les fournisseurs de télécommunications en amont et les sociétés technologiques demandent généralement avant de laisser les clients sur leur réseau.

En revanche, ce n'est pas tout à fait exact. Estate a enregistré chaque attaque menée par ses membres en détail granulaire remontant au lancement du site mi-2023. Et le fondateur du site conservait l'accès aux journaux de serveurs fournissant une fenêtre en temps réel sur ce qui se passait sur le serveur d'Estate à tout moment, y compris chaque appel passé par ses membres, ainsi qu'à chaque fois qu'un membre chargeait une page sur le site web d'Estate.

La base de données montre également qu'Estate garde une trace des adresses e-mail des membres potentiels. L'un de ces utilisateurs a déclaré qu'il voulait rejoindre Estate car il avait récemment « commencé à acheter des ccs » - faisant référence aux cartes de crédit - et croyait qu'Estate était plus digne de confiance que d'acheter un bot à un vendeur inconnu. L'utilisateur a ensuite été approuvé pour devenir membre d'Estate, montrent les enregistrements.

La base de données exposée montre que certains membres ont fait confiance à la promesse d'anonymat d'Estate en laissant des fragments de leurs propres informations identifiables - y compris des adresses e-mail et des identifiants en ligne - dans les scripts qu'ils ont écrits et les attaques qu'ils ont menées.

La base de données d'Estate contient également les scripts d'attaque de ses membres, qui révèlent les façons spécifiques dont les attaquants exploitent les failles dans la façon dont les géants de la tech et les banques mettent en œuvre des fonctionnalités de sécurité, comme les codes à usage unique, pour vérifier l'identité des clients. TechCrunch ne décrit pas les scripts en détail, car cela pourrait aider les cybercriminels à mener des attaques.

Le journaliste spécialisé en sécurité Brian Krebs, qui a précédemment rapporté sur une opération de codes à usage unique en 2021, a déclaré que ces opérations criminelles montrent clairement pourquoi vous ne devriez « jamais fournir aucune information en réponse à un appel téléphonique non sollicité ».

« Peu importe qui prétend appeler : Si vous n'avez pas initié le contact, raccrochez », a écrit Krebs. Ce conseil reste toujours d'actualité.

Mais bien que les services proposant l'utilisation de codes à usage unique offrent une meilleure sécurité aux utilisateurs que les services qui n'en proposent pas, la capacité des cybercriminels à contourner ces défenses montre que les sociétés technologiques, les banques, les portefeuilles et échanges de crypto, ainsi que les sociétés de télécommunications ont encore du travail à faire.

Unit 221B's Nixon a déclaré que les entreprises sont dans une « bataille sans fin » avec des acteurs malveillants cherchant à abuser de leurs réseaux, et que les autorités devraient renforcer leurs efforts pour réprimer ces services.

« Le maillon manquant est que nous avons besoin que les forces de l'ordre arrêtent les acteurs criminels qui se rendent si nuisibles », a déclaré Nixon. « Les jeunes font délibérément une carrière de cela, car ils se convainquent qu'ils sont 'juste une plateforme' et 'pas responsables des crimes' facilités par leur projet. »

« Ils espèrent gagner facilement de l'argent dans l'économie de l'escroquerie. Il y a des influenceurs qui encouragent des moyens non éthiques de gagner de l'argent en ligne. Les forces de l'ordre doivent arrêter cela. »

Lire plus sur TechCrunch :

• Acteur de la menace a raclé 49 millions d'adresses de clients Dell
• Les services cryptés Apple, Proton et Wire ont aidé la police espagnole à identifier un activiste
• Le PDG d'UHG dit que 'peut-être un tiers' des citoyens américains ont été affectés par le piratage récent
• Ce que nous avons appris de l'inculpation du cerveau de LockBit