Récemment, les chercheurs du Lookout Threat Lab ont réexaminé une piste qu’un ancien collègue avait publiée sur Twitter l’été dernier. Ce faisant, ils ont plongé tête baissée dans une campagne de phishing de longue haleine qui cible activement les familles de militaires américains ainsi que les personnes désireuses de nouer une relation amoureuse avec un soldat. Les escrocs se font passer pour des organisations et du personnel de soutien militaire afin de dérober des informations personnelles et financières sensibles à des fins lucratives. D’après l’analyse Lookout, il est clair que l’acteur de la menace cherche à voler les données sensibles des victimes, telles que leur photo d’identité, leurs informations bancaires, leur nom, leur adresse et leur numéro de téléphone. Avec ces informations, l’acteur peut facilement voler l’identité de la victime, vider son compte bancaire et se faire passer pour un autre individu en ligne.

Identifier l’escroquerie : La fraude 419

Cette escroquerie correspond le plus à la définition de ce que l’on appelle la fraude 419 ou la fraude par avancement de frais. Ce nom vient du fait que ces escroqueries relèvent de la section 419 du code pénal nigérian. Il s’agit généralement d’un escroc qui fournit un service en échange d’une rémunération. Au cours de l’enquête, les chercheurs ont décidé de ne pas se contenter de disséquer ces attaques, mais aussi de collaborer avec les hébergeurs pour fermer ces sites d’escroquerie.

Ces sites Web se caractérisent tous par des tactiques communes utilisées par les acteurs à l’origine des campagnes de phishing. Afin de renforcer leur crédibilité, les pages utilisent des éléments visuels et un langage que l’on pourrait s’attendre à voir sur un site Web affilié à l’armée. En outre, elles mêlent des publicités pour les services du ministère de la défense à du contenu malveillant.

Qui se cache derrière ces escroqueries et comment fonctionnent-elles ?
Un certain nombre d’indicateurs d’infrastructure et de résultats de renseignements en libre accès amènent à penser que l’attaquant opère depuis le Nigeria. Les sites Web étaient principalement hébergés par des fournisseurs nigérians qui sont à l’étranger ou qui ignorent le Digital Millennium Copyright Act (DMCA) - dans les deux cas, ces sites étaient assez bien protégés contre les démantèlements. La localisation de l’opérateur a pu être confirmée grâce à un numéro de téléphone que l’un des développeurs web a accidentellement laissé sur la version préliminaire du site. L’indicatif du pays du numéro est celui du Nigeria.

Probablement pour des raisons économiques, les attaquants ont choisi des services d’hébergement partagés bon marché pour les sites Web frauduleux. Cela peut constituer un obstacle à la recherche, car des centaines, voire des milliers de domaines peuvent partager les mêmes ressources virtuelles et se résoudre à la même adresse IP. Pour découvrir d’autres sites de cette campagne, les chercheurs Lookout ont pu consulter les numéros de contact de ces sites, qui étaient réutilisés.

Lorsqu’ils se sont plongés dans les informations d’enregistrement des différents sites, ils ont constaté que les acteurs pratiquaient une sécurité opérationnelle assez médiocre, réutilisant souvent les numéros de téléphone, les adresses e-mail et d’autres informations sur les inscrits, ce qui a facilité le suivi de la campagne. En plus des ressources partagées et des informations de contact sur les sites Web réels, ces informations ont permis d’identifier 50 sites d’escroquerie militaire liés à cette campagne. Ils ont également pu relier ce groupe à de nombreuses autres escroqueries faisant la publicité de faux services de livraison, d’échanges de crypto-monnaies, de banques et même de ventes d’animaux en ligne.

Ingénierie sociale : les tactiques derrière l’arnaque

Lorsque nous observons une campagne de grande envergure comme celle-ci, il est important d’identifier les objectifs de l’acteur et les tactiques qu’il utilise. Dans ce cas, l’angle d’attaque est l’ingénierie sociale. Comme nous l’avons mentionné précédemment, il semble que deux groupes clés puissent être ciblés par cette campagne : les membres des familles des militaires américains et les personnes qui souhaitent entretenir une relation amoureuse avec un soldat. L’objectif final est le gain financier, car la plupart des "services" annoncés sur ces sites ont un prix élevé. Comme c’est le cas pour d’autres arnaques 419, le service promis n’est jamais fourni et l’escroc disparaît avec l’argent de la victime avant que celle-ci ne se rende compte qu’elle a été dupée.

Voici un exemple d’interaction de la part d’une personne qui est tombée dans le piège :

Les faux services

Pour bien comprendre l’arnaque, examinons d’abord les services proposés sur ces sites et les captures d’écran de ces pages :

Permis de communication : Cette page propose des cartes d’appel pour aider les membres de la famille à entrer en contact avec les troupes déployées. Le coût des services est suspicieusement élevé :
• Petite carte militaire - 680 $.
• Carte militaire moyenne - 780 $.
• Carte militaire grande - 890 $.
• Grande carte militaire mondiale - 1150 $.
• ILLIMITÉ = (Envoyez-nous un message)

Demande de congé au nom d’un soldat : L’escroc propose un certain nombre d’options permettant aux soldats ou à leur famille de demander un congé d’urgence. Les prétendues raisons de ce congé sont la santé (congé pour recevoir des soins médicaux appropriés) et des "vacances romantiques". La durée du congé détermine le prix du service :
• 4 semaines : $3,500
• 6 semaines : $5,000
• 8 semaines : $10,999
• 10 semaines : $20,123
• 14 semaines : $30,600
• 18 semaines : $40,976
• 22 semaines : $50,143
• 26 semaines : $60,342

Paquets de soins : Les membres des familles se voient offrir la possibilité d’envoyer aux troupes des colis de soins à des prix extrêmement gonflés :
• Mini colis de soins - 800 $.
• Colis de soins Airbourne - 1200 $.
• Colis de soins Premium - 1 700 $.

Le Fonds de compensation : Il existe un faux service particulièrement sinistre qui vise directement les personnes ayant perdu un membre de leur famille dans l’exercice de ses fonctions. C’est également là qu’il est le plus clair que l’escroc a l’intention de voler l’identité de la victime sur la base des informations demandées :
• Nom du soldat
• Pays où il est déployé
• Code MOS
• Votre nom complet
• Votre pièce d’identité (« joignez une photo nette de celle-ci au courrier »).
• Votre adresse électronique
• Relation avec le soldat
• Nom de la banque
• Numéro de compte

Déclinaison du déploiement, mariage, options de logement et démission : Ces faux services prétendent que seuls les membres de la famille ou les proches peuvent présenter une demande au nom du soldat. Aucun d’entre eux ne propose de prix pour ses services, mais demande plutôt à l’individu d’entrer en contact avec les coordonnées fournies. Si l’on considère l’ensemble de ces données, il est clair qu’elles sont destinées à permettre à l’attaquant d’usurper l’identité de l’individu et de voler de l’argent sur son compte bancaire ou de s’inscrire frauduleusement à d’autres services financiers tels que des lignes de crédit. Le faux fonds de compensation incarne la plupart des caractéristiques des campagnes de phishing efficaces : une accroche qui tire sur les émotions de la cible, des demandes apparemment légitimes ou inoffensives, puis une demande infâme enfouie dans tout le reste.

Il faut toute la communauté : démanteler les campagnes de phishing
La plupart des campagnes de phishing ont pour objectif final d’usurper les informations d’identification d’un utilisateur personnel ou d’une entreprise, d’inciter l’utilisateur à révéler son identité ou de diffuser un logiciel malveillant sur l’appareil cible. Elles ont tendance à atteindre de manière proactive leur public cible par e-mail, SMS ou médias sociaux et sont généralement de courte durée. Comme pour la plupart des autres escroqueries 419, cet acteur s’engage dans un mélange d’approches proactives et passives par le biais d’e-mails, de médias sociaux et d’applications de rencontre dans le but de réaliser des gains financiers et de voler des identités.

Cette campagne et le processus de démantèlement illustrent les avantages de la collaboration au sein de la communauté de la cybersécurité. En nous appuyant sur les recherches initiales d’une poignée d’individus et de groupes, nous avons pu obtenir davantage d’informations sur cette escroquerie et démanteler d’autres sites d’escroquerie. Lookout a contacté chacun des bureaux d’enregistrement responsables des domaines utilisés dans cette campagne et a fourni des preuves de fraude ou de mauvaise utilisation par le titulaire du domaine. Les bureaux d’enregistrement sont en train de désactiver tous les domaines associés à la campagne.

Comment vous protéger et protéger votre organisation

Protéger votre organisation contre le phishing

La priorité absolue de l’équipe de recherche de Lookout est de s’assurer que ses clients sont protégés contre les dernières menaces. Suite à l’analyse effectuée sur cette campagne de phishing, ils ont mis en place une couverture sur Lookout Phishing and Content Protection contre ces attaques. Les comptes compromis étant l’une des menaces les plus difficiles à combattre, ils recommandent à toutes les organisations de déployer une solution de phishing dédiée qui fonctionne que l’employé travaille ou non à l’intérieur du périmètre de l’entreprise.

Se protéger des escroqueries

Les attaques de phishing sont également l’un des moyens les plus courants de mettre en danger votre appareil et vos informations personnelles. Lookout vous recommande de déployer une sécurité mobile dédiée sur votre appareil pour vous protéger contre les menaces mobiles et le vol d’identité.