Europol démantèle une importante opération de phishing qui a mis à nu la plateforme PhaaS d'iServer et les opérations de cybercriminalité mondiales
Europol a démantelé une opération de phishing de grande envergure visant les identifiants de téléphones portables, portant un coup dur à la cybercriminalité internationale. Le démantèlement de la plateforme de phishing en tant que service (PhaaS), connue sous le nom d'iServer, marque un tournant dans la lutte contre les opérations de phishing qui exploitent les appareils mobiles volés ou perdus. Les forces de l'ordre de plusieurs pays ont participé à l'opération, baptisée Opération Kaerb, qui a conduit à l'arrestation de 17 individus et à la saisie de centaines d'objets, dont des appareils mobiles, des véhicules et des armes.
Table of Contents
Le service de phishing d'iServer cible les identifiants de téléphone mobile
iServer, une plateforme de phishing automatisée, s'est distinguée des autres services PhaaS en se spécialisant dans le déblocage de téléphones portables volés ou perdus. Les criminels utilisant la plateforme, souvent appelés « déverrouilleurs », ciblaient les identifiants des utilisateurs des plateformes mobiles basées sur le cloud, leur permettant de contourner les fonctionnalités de sécurité comme le mode perdu et de prendre le contrôle des appareils. En se faisant passer pour des services mobiles de confiance, ils ont trompé les victimes en leur demandant de leur transmettre des informations sensibles telles que des mots de passe et des codes d'authentification à deux facteurs (2FA).
Cette plateforme de phishing ciblait principalement les utilisateurs hispanophones d'Europe, d'Amérique du Nord et d'Amérique du Sud, le Chili, la Colombie, l'Équateur et le Pérou ayant enregistré le plus grand nombre de victimes. Au total, iServer a fait plus de 483 000 victimes dans le monde.
Opération Kaerb : effort mondial pour démanteler iServer
L'effort coordonné, mené par les forces de l'ordre d'Espagne, d'Argentine, du Chili, de Colombie, d'Équateur et du Pérou, a abouti à l'arrestation du ressortissant argentin responsable du développement et de l'exploitation d'iServer depuis 2018. Au cours de l'opération, 17 arrestations ont été effectuées, 28 perquisitions ont été menées et 921 objets, dont des appareils mobiles et du matériel électronique, ont été confisqués.
Au total, plus de 1,2 million de téléphones portables auraient été débloqués grâce à la plateforme de phishing. Cette arnaque a non seulement permis aux criminels d'accéder sans autorisation à des téléphones volés, mais a également facilité la vente illégale de ces services à des acheteurs tiers, notamment des voleurs de téléphones.
Comment fonctionne le système de phishing
iServer a utilisé des techniques sophistiquées pour inciter les victimes à révéler les identifiants de leur appareil. Les criminels envoyaient des SMS frauduleux aux victimes, les incitant à cliquer sur un lien pour localiser leur téléphone perdu. Le lien les dirigeait vers une série de redirections, pour finalement aboutir à une fausse page de connexion qui reflétait les plateformes cloud populaires. Les victimes étaient invitées à saisir leurs identifiants, les codes d'accès de leur appareil et les codes 2FA, qui étaient ensuite utilisés par les attaquants pour déverrouiller et dissocier les téléphones de leurs propriétaires légitimes.
Selon l'entreprise de cybersécurité Group-IB basée à Singapour, l'automatisation de la création et de la diffusion des pages de phishing par iServer le distingue des plateformes de phishing traditionnelles. En automatisant ces processus, iServer a permis à des criminels peu qualifiés d'exécuter des attaques de phishing sophistiquées avec un minimum d'effort.
La plateforme fantôme a également été démantelée dans le cadre d'une action mondiale
Dans le même ordre d’idées, Europol et la police fédérale australienne (AFP) ont démantelé un autre réseau criminel qui exploitait une plateforme de communications cryptées connue sous le nom de Ghost. Semblable à des services comme EncroChat et Sky ECC, Ghost permettait aux organisations criminelles de mener des activités illégales telles que le trafic de drogue, le blanchiment d’argent et la violence tout en échappant à la détection.
Ghost, accessible via des smartphones Android personnalisés, proposait aux utilisateurs des fonctionnalités telles que la messagerie cryptée et la possibilité d'autodestruction des messages. La plateforme est devenue une plaque tournante du crime organisé, avec des milliers d'utilisateurs échangeant plus de 1 000 messages par jour. Dans le cadre de l'opération Kraken, 51 arrestations ont été effectuées, dont 38 en Australie, et des personnalités clés liées à des organisations criminelles ont été placées en détention.
La lutte continue d'Europol contre la cybercriminalité
Le démantèlement d'iServer et de la plateforme Ghost souligne l'engagement d'Europol à démanteler les réseaux de cybercriminalité qui utilisent des outils numériques pour exploiter leurs victimes. Comme le montrent ces opérations, le phishing-as-a-service et les plateformes de communication cryptées sont devenus des outils incontournables pour les cybercriminels, rendant les efforts coordonnés des forces de l'ordre à l'échelle mondiale essentiels pour freiner leur propagation.
Les cybercriminels font sans cesse évoluer leurs tactiques, notamment en recourant à des plateformes moins connues. Il est donc essentiel que les forces de l'ordre et les entreprises privées gardent une longueur d'avance. La coopération entre les nations, combinée aux avancées technologiques dans le domaine de l'application de la loi, continuera de jouer un rôle clé dans la lutte contre la cybercriminalité.
Pour les particuliers, la meilleure ligne de défense reste la vigilance. Être prudent face aux messages non sollicités, vérifier les liens avant de cliquer et utiliser l'authentification à deux facteurs peuvent aider à protéger les données personnelles et les appareils mobiles contre les mauvaises mains.
