Une coalition d’agences de la loi a annoncé avoir démantelé un service qui facilitait le déverrouillage de plus de 1,2 million de téléphones mobiles volés ou perdus, permettant ainsi leur utilisation par d’autres personnes que leurs véritables propriétaires.
Ce service faisait partie d’iServer, une plateforme de « phishing-as-a-service » qui opérait depuis 2018. Basée en Argentine, iServer proposait un accès à une plateforme offrant une multitude de services liés au phishing via des emails, des messages textes et des appels vocaux. L’un des services spécialisés proposé avait pour objectif d’aider les personnes en possession d’un grand nombre de dispositifs mobiles volés ou perdus à obtenir les identifiants nécessaires pour contourner des protections telles que le mode perdu pour les iPhones, qui empêche l’utilisation d’un appareil perdu ou volé sans entrer son code de déverrouillage.
Ciblant les voleurs peu qualifiés
Une opération internationale coordonnée par le Centre européen de lutte contre la cybercriminalité d’Europol a annoncé l’arrestation du citoyen argentin derrière iServer et a identifié plus de 2 000 « déverrouilleurs » qui s’étaient inscrits sur la plateforme de phishing au fil des ans. Les enquêteurs ont finalement découvert que le réseau criminel avait été utilisé pour déverrouiller plus de 1,2 million de téléphones mobiles. Les responsables ont également identifié 483 000 propriétaires de téléphones ayant reçu des messages de phishing sollicitant des identifiants pour leurs appareils perdus ou volés.
Selon Group-IB, la firme de sécurité ayant découvert le trafic de déverrouillage de téléphones et l’ayant signalé aux autorités, iServer offrait une interface web qui permettait aux déverrouilleurs peu qualifiés de phisher les véritables propriétaires d’appareils afin d’obtenir les codes de déverrouillage, les identifiants d’accès aux plateformes mobiles basées sur le cloud, et d’autres informations personnelles.
Group-IB a écrit :
Au cours de ses enquêtes sur les activités criminelles d’iServer, les spécialistes de Group-IB ont également découvert la structure et les rôles des syndicats criminels opérant avec la plateforme : le propriétaire/developpeur de la plateforme vend l’accès à des « déverrouilleurs », qui fournissent à leur tour des services de déverrouillage de téléphone à d’autres criminels possédant des appareils volés verrouillés. Les attaques de phishing sont spécifiquement conçues pour rassembler des données donnant accès aux dispositifs mobiles physiques, permettant aux criminels d’acquérir les identifiants et les mots de passe locaux des utilisateurs pour déverrouiller les dispositifs ou les dissocier de leurs propriétaires. iServer automatise la création et la distribution de pages de phishing imitant des plateformes mobiles basées sur le cloud, avec plusieurs mises en œuvre uniques qui renforcent son efficacité en tant qu’outil de cybercriminalité.
Les déverrouilleurs obtiennent les informations nécessaires pour déverrouiller les téléphones mobiles, telles que l’IMEI, la langue, les détails du propriétaire et les informations de contact, souvent accessibles via le mode perdu ou des plateformes mobiles basées sur le cloud. Ils utilisent des domaines de phishing fournis par iServer ou créent les leurs pour mettre en place une attaque de phishing. Après avoir sélectionné un scénario d’attaque, iServer crée une page de phishing et envoie un SMS contenant un lien malveillant à la victime.
Lorsque la tentative réussissait, les clients d’iServer recevaient les identifiants par le biais de l’interface web. Les clients pouvaient alors déverrouiller un téléphone pour désactiver le mode perdu, permettant à un nouvel utilisateur de prendre possession de l’appareil.
En fin de compte, les criminels recevaient les identifiants volés et validés via l’interface web d’iServer, leur permettant de déverrouiller un téléphone, de désactiver le « mode perdu » et de le dissocier du compte de son propriétaire.
Afin de mieux camoufler le stratagème, iServer déguisait souvent ses pages de phishing en appartenant à des services basés sur le cloud.
En plus des arrestations, les autorités ont également saisi le domaine iserver.com.
Le démantèlement et les arrestations ont eu lieu entre le 10 et le 17 septembre en Espagne, en Argentine, au Chili, en Colombie, en Équateur et au Pérou. Les autorités de ces pays ont commencé à enquêter sur le service de phishing en 2022.
En tant que journaliste, je trouve inquiétant de constater à quel point les techniques de phishing se sont sophistiquées. Cette affaire souligne la nécessité d’une vigilance accrue de la part des utilisateurs pour protéger leurs informations personnelles. Au fur et à mesure que la technologie évolue, il est primordial de rester informé des tendances en matière de cybercriminalité afin de mieux nous en prémunir.