Ils sont les indispensables intermédiaires techniques dans les arnaques au faux conseiller bancaire. Les spécialistes en cybermenaces de la société française Intrinsec viennent de publier un rapport instructif d’une trentaine de pages sur les opérateurs de services de spoofing, ces infrastructures qui permettent d’usurper des numéros de téléphone.
Pour rappel, en se faisant passer pour la banque de sa victime, les “escrocs au allô” arrivent à obtenir des codes de validation, leur ouvrant ainsi l’accès à l’argent présent sur les comptes. Pour ces arnaqueurs, il est essentiel d’avoir un service leur permettant d’usurper le numéro d’appel d’une banque.
“La faille vient du protocole SIP [“Session Initiation Protocol”] lui-même, qui permet à n’importe qui d’afficher un numéro voulu, et de l’interconnexion entre réseaux nouveaux et anciens qui complique le contrôle”, résument les experts d’Intrinsec.
Conseils et tutoriels
Dans leurs recherches sur les spoofers, ces derniers se sont notamment intéressés à l’ascension puis la chute de “Rise Spoofer”. Ce canal Telegram proposait à partir d’août 2022 la location d’une infrastructure prête à l’emploi. “Son service était classique”, relatent-ils, avec du spoofing vocal, pour usurper un numéro lors d’un appel, et texte, afin de faire de même lors d’un envoi de SMS.
Mais “Rise Spoofer” proposait également de pouvoir mettre un appel en attente, de faire lire un script à une voix pré-enregistrée, et de détecter les numéros composés sur le téléphone. Le canal Telegram donnait également des conseils à ses clients pour contourner les blocages mis en place par les opérateurs. “Deux routes ont été ajoutées, s’il y en a une qui est down ça passera automatiquement à l’autre”, écrit ainsi “Rise Spoofer” en septembre 2022. Et de conseiller également de mettre “Info SG” au lieu de “SG”, en référence visiblement à l’établissement bancaire, dans le nom de l’émetteur pour que le SMS passe.
“Rise Spoofer” avait même publié un tutoriel, recommandant l’utilisation Zolper. Ce logiciel gratuit de softphone permet de passer des appels depuis son ordinateur, à utiliser avec un compte SIP, achetable via un compte Telegram. C’est ce protocole qui permet des sessions de communication VoIP, pour Voix sur IP. Autant d’outils donc déjà existants sur le marché légal mais détournés par ces criminels.
Doxx
Mais si l’affaire de “Rise Spoofer” semble florissante, elle se termine finalement en queue de poisson à partir de septembre 2023. Ce dernier annonce en effet fermer le rideau dans un message, le 10 septembre 2023. Que s’est-il passé? “Rise Spoofer” avait accusé l’un de ses concurrents, “Chez Reverse”, d’être un escroc et d’enregistrer les appels de ses clients. En rétorsion, le deuxième avait alors dévoilé l’identité du premier sur son compte Telegram.
“Rise Spoofer a par exemple très bien pu tenter de relancer son activité sous un autre nom après la cessation de son premier canal”, observe Intrinsec. D’ailleurs, rien ne distingue vraiment un prestataire d’un autre, ils “utilisent presque tous les mêmes outils et procédés”.
Autant d’infrastructures à la “durée de vie relativement limitée” face à des clients craignant l’exitscam – cette façon de partir d’un coup avec des commandes déjà encaissées mais pas honorées. Une angoisse pas si étonnante au royaume des arnaqueurs.