Vous vous rappelez sans doute de l’histoire de notre ami Jo, l’escroc qui se faisait passer pour une fille pour mieux escroquer ses victimes en leur faisant encaisser des faux chèques. C’était il y a quelques mois, et désormais les petites combines de Jo sont devenues d’amusantes petites farces par rapport à l’arnaque que je vais vous décrire.
Aujourd’hui, les syndicats du cybercrime sont capables de prouesses technologiques dans le but de voler toujours plus d’argent, et la beauté de la chose, c’est que pratiquement toute l’escroquerie est automatisée !
Voici concrètement les principales caractéristiques de cette arnaque:
– L’utilisation inédite de VPN sur des opérations liées au botnet Zeus.
– Un système entièrement automatisé capable de piloter un nombre impressionnant de services en ligne, tels que l’archivage de chèques bancaires, la vérification de ces chèques, les sites d’offres d’emploi et certains Webmails.
– Le recrutement automatique de mules pour l’encaissement des chèques et le virement bancaire.
– Le détournement de certains systèmes anti-fraude pour faciliter l’arnaque.
– Fraude à la carte de crédit pour utiliser des services de livraison postale.
Utiliser un tunnel VPN pour dissimuler les opérations.
Le VPN (Virtual Private Network) permet de faire passer des données d’un réseau privé au travers l’Internet. Pour un maximum de sécurité, les données sont cryptées. Concrètement, vous êtes en déplacement et vous avez besoin d’accéder aux ressources privées de votre entreprise (Fichiers, intranet, imprimantes, etc.) Le VPN « creuse » un tunnel privé et sécurisé jusqu’à un serveur qui vous authentifie et redistribue ces données vers votre poste: vous faites désormais partie intégrante du réseau privé de votre entreprise, même si physiquement vous êtes à des milliers de kilomètres de votre lieu de travail.
L’arnaque utilise ce dispositif pour piloter les machines Zombie, préalablement intégrées au botnet Zeus. Windows dispose en standard d’un client VPN s’appuyant sur le protocole PPTP. Le Zombie se connecte au moyen de cette technologie à un serveur C&C (Command and Control) qui peut lui envoyer ses ordres en toute discrétion. Le système va alors s’installer sur un port TCP aléatoire et se transformer en proxy Socks.
La technique est beaucoup plus évoluée par rapport à ce qui se fait habituellement, notamment sur le Botnet Storm et son système de pilotage à base de P2P. Ici le flux de commandes est encrypté et encapsulé dans un protocole très courant et largement répandu, ce qui rend sa détection quasi impossible: une signature VPN est généralement anodine et ignorée par un IPS/IDS ou même un anti-spyware. Mais la grande force de la méthode est qu’elle permet de contourner n’importe quel firewall et aussi de résoudre la problématique du NAT (translation d’adresses IP) qui masque la machine sur Internet.
Des Zombies qui travaillent à différentes taches.
A partir du moment où un groupe de cyber-criminels prend le contrôle de plusieurs milliers de machines, il lui est facile d’organiser des opérations à un niveau industriel. Les Zombies sont capables d’effectuer automatiquement les tâches suivantes:
– Scraper des sites d’emploi pour y récupérer des adresses email.
– Lancer des campagnes de spams via Webmail (Yahoo, Gmail, etc.) afin de recruter de nouvelles mules.
– Créer automatiquement de nouveaux comptes Webmail pour générer du spam, la création se faisant à l’aide d’un service de décodage de Captcha.
– Utilisation des raccourcisseurs d’URL afin de camoufler les liens dans les spams.
– Piratage des images de chèques numérisés sur des sites de e-commerce.
– Achat automatique grâce à des cartes de crédit volées, d’enveloppes pré-timbrées et pré-remplies pour l’expédition par voie postale des faux chèques.
Toutes ces opérations jouent un rôle crucial dans le but ultime des escrocs: sortir de l’argent de certains comptes bancaires via de faux chèques et virer l’argent ainsi obtenue dans un autre pays.
|
Si l’on décortique un peu plus en détail les activités des machines Zombies, on comprend mieux comment le groupe contrefait les chèques. Un processus automatique scrape les images des chèques sur certains sites de e-commerce qui archivent leurs chèques. Ironiquement, l’un de ces sites s’avère être un site spécialisé dans la lutte contre la fraude aux chèques.
Finalement, le groupe était capable de s’introduire dans d’autres systèmes sous-traitants la gestion des chèques en provenance d’autres sites commerciaux. Le système était capable d’aller chercher un très grand nombre de ces chèques numérisés; il avait alors les précieuses informations nécessaires à l’élaboration des faux chèques: le numéro du chèque, le numéro de compte, le nom et l’adresse de la société ainsi que l’image de la signature des personnes autorisées à signer les chèques: comptables, particuliers, etc.
Le groupe semblait utiliser un véritable programme d’édition de chèques que l’on peut acheter chez un revendeur spécialisé.
Mules ou pigeons voyageurs ?
Les mules constituent l’un des piliers de l’arnaque; il est donc nécessaire d’en recruter toujours plus. C’est grâce aux sites d’emploi que les escrocs peuvent trouver des mules. Vraisemblablement grâce à des accès volés, ils accèdent aux adresses email de demandeurs d’emploi qu’ils n’ont plus qu’à insérer dans leur base de données de spam. Ces mules sont ensuite contactées par un email pour leur proposer une offre alléchante: travailler pour une grande société financière à la recherche de « talents » pouvant effectuer quelques opérations simples comme l’encaissement d’un chèque et un virement bancaire.
Voici un exemple de proposition:
A: [le nom du demandeur d’emploi]
De: Service des ressources humaines
Sujet: Proposition pour [le nom du demandeur d’emploi]
Cher [le nom du demandeur d’emploi]
Notre société – “La SA Méga Fiduciaire Internationale” gère des prestations bancaires depuis plus de 10 ans. Pour faire face à notre croissance exceptionnelle, nous sommes à la recherche de personnes pouvant transférer de l’argent depuis les États-Unis vers l’étranger.
Le travail consiste en les opérations suivantes:
– Récupérer un chèque via un point de dépôt postal.
– Encaisser le chèque.
– Effectuer un virement bancaire vers des comptes que nous vous indiquerons.
Pour ce travail, il vous est demandé:
– Une adresse active.
– 1 à 2 heures de disponibilité par jour.
– Un compte bancaire suffisamment approvisionné.
Rémunération:
De $100 à $500 par jour avec une garantie minimale de $3000 en à peine quelques heures. Notre société prend en charge tous les frais.
Si cela vous intéresse, merci de bien vouloir vous inscrire sur notre site Web et d’y renseigner vos coordonnées.
Sincères salutations.
Le Directeur des Ressources Humaines
SA Méga Fiduciaire Internationale.
Le groupe a utilisé bon nombre de noms de société proches de sociétés financières complètement légitimes, afin de gagner la confiance des mules. Si le demandeur d’emploi répondait à l’annonce, voici le genre de mail qu’il recevait:
Sujet: Première opération pour [le nom de la mule]. Veuillez suivre attentivement les instructions ci-jointes.
De: Paiement réussi
A: [le nom de la mule]
Cher [le nom de la mule]
Attention: veuillez répondre à ce message au maximum 12 heures après sa réception.
Notre client vous a envoyé un chèque de $2740. Vous recevrez ce chèque par voie postale entre le 10 et le 12 juillet.
Vous pouvez voir en temps réel l’état d’avancement de l’expédition grâce à son numéro de suivi: X3535XX
Une fois reçu, vous pouvez encaisser le chèque:
1) Auprès de la banque qui a émit le chèque.
2) Auprès d’un centre d’encaissement.
3) En déposant directement le chèque sur votre compte bancaire.
Plus vite vous enverrez l’argent par virement, et plus importante sera votre commission. Si vous envoyez l’argent dans les 24 heures, votre commission représentera 15% du montant du chèque. Dans le cas contraire, vous ne percevrez que 8% de la somme.
Dans les 24 heures:
Somme à envoyer: 2204
Votre commission: 411
Frais: 125
Après 24 heures:
Somme à envoyer: 2395
Votre commission: 220
Frais: 125
S’il y a d’autre frais, merci de bien vouloir les déduire du montant à envoyer.
Vous allez avoir besoin des informations suivantes pour effectuer le virement bancaire:
1) Prénom ** [Le prénom de la mule russe]
2) Nom ** [Le nom de la mule russe]
3) Ville ** Saint-Saint-Pétersbourg
4) Pays ** Russie
Une fois que vous avez envoyé l’argent, la banque va vous donner un numéro de suivi que vous nous enverrez par email.
Merci de bien vouloir indiquer précisément les informations suivantes
1) Votre adresse (celle que vous avez indiquée dans le virement):
2) Vos noms et prénoms (que vous avez indiqué dans le virement):
3) Somme transférée:
4) Le numéro de suivi:
Une fois que notre client aura reçu le virement, prouvant ainsi votre efficacité, le nombre de chèques à encaisser sera augmenté au jour le jour. Nous apprécions votre collaboration et espérons que vous travaillerez longtemps avec nous. Merci de bien vouloir nous répondre par mail et nous indiquer que vous avez bien compris les instructions.
Une organisation bien huilée mais trahie par un mauvais anglais
Afin que l’opération soit un réel succès, la mule devait agir dans les meilleurs délais. C’est pour cette raison qu’il était vital que le virement se fasse le plus rapidement possible, d’où la commission de 15% pour la première journée et de seulement 8% pour un délai supérieur. Le montant des faux chèques n’excédait jamais $3000. Au delà de ce montant, les délais d’encaissement ont tendance à augmenter et le risque de découvrir la fraude devient beaucoup plus important.
Lorsque la mule ne répondait pas au mail d’information, le groupe insistait en lui téléphonant directement. Une femme parlant anglais mais avec un accent russe appelait la mule en lui demandant d’envoyer l’argent le plus rapidement possible.
Les chèques reçus par les mules semblaient bien réels. Même les habituelles mesures anti-contrefaçons y apparaissaient.
|
Malheureusement pour le groupe, la mauvaise maitrise de l’anglais leur a été fatale: les très nombreuses fautes d’orthographe et de grammaire présents directement sur les chèques trahissaient la contrefaçon.
Pour terminer, nous avons ici affaire à un groupe très bien organisé et qui a su exploiter les gigantesques possibilités offertes par un botnet; le degrés d’automatisme est tel que l’avenir nous prépare certainement encore de bien belles surprises en provenance des cyber-syndicats.
Et oui, c’est ballot ça, rater son coup parceque l’on a un accent russe et que l’on fait des fautes d’orthographes !