Cyber : Comment j'ai traqué...et trollé un arnaqueur
Je travaille pour plusieurs clients. L'un de mes clients est une grosse institution financière.
Dans le cadre de ma mission, je suis amené à revoir les signalements de phishing et d'arnaque. je vais vous raconter ici comment j'ai traqué et trollé un arnaqueur pas trés doué.
Tout commence par le signalement d'un énième email d'arnaque. Sauf que celui-là a attiré mon attention car il aurait pu être légitime. Avant de bloquer l'expéditeur, je procède donc souvent à quelques vérifications. il n'est pas rare que les utilisateurs nous signalent des emails parfaitement légitimes, et les bloquer crée des incidents au business dont on doit se justifier.
Je regarde donc ce nom, Christos Gavalas, entreprise Mytilineos. L'email est envoyé depuis un compte outlook, ça commence déjà mal. Le nom et l'entreprise correspondent à une vraie personne, dont l'identité a visiblement été usurpée.
Il demande le paiement du financement d'un projet, mais à une tierce personne, un certain Michael Demon. Une recherche, cette personne ne semble pas avoir le moindre lien avec l'entreprise citée.
Le compte en banque fourni : Wise banque est une banque 100% en ligne, souvent utilisée dans les arnaques, et pas vraiment par des entreprises, surtout des entreprises de la taille de celle usurpée, qui de plus, est localisée en Grèce et non en Belgique comme Wise bank.
Une recherche rapide auprès des équipes business chez mon client, personne ne connait cette entreprise ni ces deux personnes.
Ok, c'est une arnaque. Mais le gars est assez idiot pour juste demander du pognon et penser que ça va passer. Ou alors, l'arnaque est bien plus évoluée que je ne le pense. Ca titille ma curiosité.
Je décide d'investiguer un peu. Et pour ça, j'ai un petit outil fait maison, qui ressemble fortement à un système de validation de virement. C'est fait exprès. J'utilise un peu de javascript pour récupérer le maximum d'information sur le navigateur et l'appareil de ma cible, sans jamais le pirater, car oui, même si c'est un arnaqueur et que je suis en mesure de le faire, nous on doit rester du bon côté de la ligne.
Je décide de lui envoyer un email de notification, comme quoi le paiement a été effectué, mais qu'il doit procéder à des vérifications.
"hey, ça a marché ? il m'ont envoyé les 5M€ ? il faut juste suivre la procédure..." évidemment, il clique...
Une fois qu'il clique sur le lien, il se retrouve sur cette page qui reprend les information du paiement, c'est volontairement moche, et ressemble à un vieux système bancaire. Car si vous avez déjà travaillé dans une banque, vous savez que c'est parfaitement réaliste...
Et c'est là que le javascript fait son travail, pour pouvoir valider l'opération, il doit accepter la géolocalisation. Vous savez, c'est cette petite pop-up sur certains site "le site machin.com souhaite connaître votre position". Ce n'est pas la localisation par l'adresse IP, mais par les coordonnées GPS du terminal. Et ce qui est bien avec ça, c'est que même s'il utilise un vpn, j'obtiens sa véritable localisation. C'est un peu moins précis avec un pc, mais si la page est ouverte sur un smartphone, la précision est de l'ordre de quelques mètres.
il arrive ensuite sur un formulaire où je lui demande son adresse postale, son vrai nom et prénom, son numéro de téléphone et son email. Via le serveur web, j'ai également son IP, le user agent (le navigateur web), et le type d'équipement.
nom et prénom : les mêmes que dans l'email, Michael Demon
Adresse fournie : Pays-Bas
Numéro de téléphone : Pays-Bas
IP : Pays-Bas
User agent : Samsung web browser
Equipement : Samsung galaxy
GPS : Pays Bas
A ce stade j'ai assez d'informations pour prendre le contrôle de son téléphone, mais ce serait franchir la ligne rouge, donc on va rester sage.
Si ça avait été une entreprise, le lien aurait été ouvert depuis un ordinateur de l'entreprise et non un smartphone, et le nom et informations de contact auraient été en lien avec elle. Là, bien que je n'avais déjà plus de doute, ça confirme la tentative d'arnaque.
Bien, vérifions : l'ip est localisée sur un NRO à 1 km de l'adresse fournie, la localisation GPS est à l'adresse fournie. Il ne cherche même pas à se cacher, il a donné sa véritable adresse. L'adresse est un ensemble de petits logements, type barre d'immeubles à 3 étages. Plusieurs centaines de personnes vivent dans le quartier.
Un petit Google maps sur l'adresse :
Mais, le nom et prénom pourraient être totalement faux et vu le quartier et le nombre d'habitants, sans le véritable nom, il serait plus difficile de l'identifier. Il n'est pas rare que les arnaqueurs usurpent l'identité de quelqu'un pour ouvrir les comptes en banque. Son nom et prénom sont assez répandus qui plus est, tout pourrait être faux.
Alors demandons lui sa carte d'identité. Pour cela, envoyons une notification via mon faux site de validation de virement, demandant la carte
Et il me la fournit, recto verso...
Je ne l'ai pas demandé, mais il me fournit en plus le RIB de son compte en banque, sur lequel se trouve son nom complet et son adresse.
L'adresse et le nom correspondent toujours à sa localisation et les informations qu'il a fournit.
Ok, mais il pourrait très bien avoir volé une carte d'identité et usurper ce nom là aussi.
Demandons lui une photo, mais cette fois de lui, qui tient la carte d'identité. Il me l'envoie, en ayant pris soin d'enfiler une chemise et un veston.
Ok, j'ai maintenant la preuve que cet idiot, a ouvert un compte à son vrai nom, avec sa vraie adresse, où il est physiquement en ce moment même, et essaie d'arnaquer 5M€ à une institution financière.
En parallèle je fais des recherches sur lui, et ne trouve pas grand chose, à part sa participation dans la vie d'un club de football dans une ville proche de son adresse. Rien d'utilisable. Le nom est très répandu et je tombe sur beaucoup d'homonymie. Je ne cherche pas bien longtemps, ça ne sert pas à grand chose.
Les équipes business s'en fichent, elles voient passer tellement de tentatives, qu'elles ne souhaitent pas porter plainte.
Le week-end arrive. Notre ami Michael pense avoir fournit tous les documents nécessaires pour recevoir son virement. Il trépigne, il est impatient, il doit avoir une valise prête, et le champagne au frais.
Il m'envoi des dizaines de mail pendant tout le week-end. Mais je dois rester crédible, les services financiers ne travaillent pas le week-end. Je simule donc un faux système, avec des réponses basiques automatiques du genre "MESSAGE AUTOMATIQUE : merci de nous avoir contacté, nous avons bien reçu votre message et vous répondrons dans les plus brefs délais."
Il est tellement impatient, qu'avant même d'avoir une confirmation de mon faux système, il ouvre une demande de support auprès de wise bank. Il m'envoie une capture pour preuve qu'il a ouvert un ticket au support de Wise. Bon, oui et alors ?
Et Alors... Ce qu'il ignore, c'est qu'en parallèle, j'étais en contact avec sa banque, et leur fournissais tous les échanges, les documents etc.
A ce moment là, j'ignore ce que sont les "needed procedures" chez Wise.
Le lundi matin, je décide de lui faire croire que le virement a été approuvé, avec une autre notification de mon faux système. Et je découvre alors ce que sont les "needed procedure" chez Wise, lorsque qu'il me transfert des emails qu'il a échangé avec eux :
Si vous ne comprenez pas l'anglais, suite à ce que j'ai fournis à Wise, son compte en banque a été fermé, et à priori les fonds qui s'y trouvaient sont bloqués...
Il cherche alors à savoir où est parti l'argent, vu qu'il a reçu une notification ce matin. Il demande un statut SWIFT du paiement.
SWIFT est le système d'interconnexion entre les banques pour gérer les transferts d'argent (pour simplifier). Jouons le jeu jusqu'au bout, un virement peut être rejeté jusqu'à 24h après son émission. Il veut un statut swift, il va en avoir un. Créons un faux rapport swift tracker :
A ce moment là, il comprend que le virement a été fait vers le compte Wise bloqué... il commence à paniquer...
Intéressant, il se mélange les pinceaux entre ses boites mails, il envoie un email qui devrait être envoyé par Michael Demon, avec la boite de Christos Gavalas. Il commence donc à perdre les pédales et commence à envoyer des emails directement à Wise banque.
Et que fait un idiot quand il panique ? il fait des choses encore plus idiotes :
Notre ami nous envoie en urgence un autre compte en banque, et demande de changer le compte de destination car Wise bank a rejeté le premier virement. Ils n'ont rien rejeté, il n'y a aucun virement bien entendu, par contre son compte chez Wise est cramé, ça oui, mais il ne sait pas...
Ho non il ne sait pas qu'il vient de faire une énorme bêtise. RaboBank est une banque des Pays Bas bien installée, une banque à l'ancienne, et non une banque en ligne. Le genre de banque chez qui on a notre salaire, nos factures, notre crédit.... oui oui, vous me voyez venir ?
J'ai besoin de temps, il faut qu'il se calme pour arrêter de faire de la merde et tout faire foirer, donc une notification comme quoi sa demande de changement de compte a bien été prise en compte, ça devrait le rassurer et me donner quelques heures...
Pendant ce temps...
Oui oui, j'ai tout fourni à Rabo Bank, absolument tout, c'est parti dans leur équipe anti fraude, on verra ce qu'ils en font.
La réponse ne tarde pas : 2 jours plus tard:
Oui, son compte chez Rabo Bank s'est fait éclater aussi... Sauf que celui-ci était certainement son véritable compte, qu'il a envoyé en urgence pendant la phase de panique.
Je décide de m'arrêter là. C'est un idiot, ça me demande beaucoup de temps, et je viens de faire sauter ses comptes en banque. Mais j'ai quand même envie de le troller une dernière fois... J'ai son numéro de téléphone, j'ai une carte SIM poubelle, il a whatsapp... c'est parti !
Et oui vous avez bien lu, en lui demandant comment va son compte en banque, sans qu'il n'ait la moindre idée de la personne à qui il parle, il m'envoie son iban. il comprendra à mon dernier message, et me bloquera.
Fin de l'histoire.
Morale, ne tentez pas d'arnaquer quand vous êtes un idiot...
Commentaires
Enregistrer un commentaire