Archives par mot-clé : Fraude

Cybersécurité, Entreprise

Quand la Corée du Nord pirate jusqu’aux entretiens d’embauche

Kraken a déjoué une tentative d’infiltration orchestrée par un hacker nord-coréen se faisant passer pour un ingénieur. Une leçon de cybersécurité révélée par l’un des leaders américains de la crypto-monnaie.

Dans un monde où les cyberattaques sont devenues monnaie courante, certaines d’entre elles prennent des formes de plus en plus inattendues. Dernière illustration en date : la tentative d’un pirate nord-coréen de s’introduire chez Kraken, un géant américain de la crypto-monnaie, en se faisant passer pour un ingénieur informatique lors d’un processus de recrutement. Loin de se faire piéger, l’entreprise a profité de l’occasion pour retourner la situation à son avantage. Ce cas, emblématique d’une stratégie de plus en plus utilisée par des groupes étatiques, révèle une sophistication inquiétante dans l’art de l’espionnage numérique. Il souligne aussi la nécessité pour les entreprises de développer des stratégies de cybersécurité toujours plus intelligentes et proactives.

L’art de l’infiltration numérique

Le scénario aurait pu passer pour une série Netflix. Il commence par une candidature en apparence banale pour un poste d’ingénieur logiciel. Mais très vite, les signaux d’alerte s’accumulent. Le nom utilisé par le candidat diffère de celui affiché sur le CV, et sa voix change à plusieurs reprises lors de l’entretien, comme si plusieurs personnes participaient en coulisses. Pour les recruteurs de Kraken, cela ne fait bientôt plus aucun doute : quelque chose cloche sérieusement.

En creusant davantage, ils découvrent que l’adresse e-mail utilisée figure sur une base de données recensant des contacts liés à des cyberattaques nord-coréennes. Le profil GitHub du candidat, pourtant bien fourni, trahit une adresse déjà compromise dans une fuite de données antérieure. Des incohérences s’ajoutent : le candidat se connecte via un VPN, accède à l’entretien depuis un Mac distant, et ses justificatifs d’identité semblent manifestement falsifiés.

L’opération devient alors pour Kraken bien plus qu’une simple procédure d’embauche. Conscients de la portée de cette tentative, les responsables de la plateforme crypto décident de transformer ce faux recrutement en véritable mission de contre-espionnage.

Une chasse au hacker méthodique

Ce que Kraken met en œuvre ensuite est digne d’un manuel d’enquête numérique. L’entreprise décide de continuer à faire progresser le faux candidat dans le processus de recrutement, tout en documentant chaque interaction. L’objectif : comprendre les tactiques utilisées par ces pirates d’un genre nouveau, qui ne cherchent plus seulement à voler des données ou des crypto-actifs, mais à infiltrer de l’intérieur les structures mêmes de leurs cibles.

L’analyse révèle alors un réseau plus vaste, composé de multiples identités, probablement gérées par un seul individu. Selon Kraken, la même personne utilisait jusqu’à quatre identités différentes pour postuler dans le secteur technologique, une stratégie visant à maximiser ses chances d’infiltration. Derrière cette façade, les traces pointent vers une opération organisée, méthodique, et clairement commanditée par un État.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

« Nous avons compris que nous n’avions pas affaire à un candidat isolé, mais à une entité structurée avec des méthodes bien rodées« , confie Nick Percoco, directeur de la sécurité de Kraken.

Une cyberattaque à visage humain

Le point culminant de cette opération d’infiltration déguisée en recrutement est atteint lors d’un « entretien d’alchimie » avec Percoco et d’autres responsables de l’équipe de sécurité. L’objectif ? Piéger le candidat en le confrontant à des questions que seul un résident légitime de la ville qu’il prétend habiter pourrait maîtriser.

L’échange vire rapidement à l’absurde : le faux ingénieur se montre incapable de présenter une pièce d’identité valable, hésite lorsqu’on lui demande de nommer un restaurant local, et évite les questions précises sur sa localisation. Pour Kraken, cela ne fait plus de doute : l’imposteur est démasqué.

Mais au-delà de ce cas isolé, c’est un mode opératoire entier qui est mis en lumière. Car ce n’est pas la première fois que les États-Unis — et d’autres pays — signalent des tentatives d’infiltration de la part de la Corée du Nord dans des entreprises du secteur numérique et de la blockchain.

Selon Chainalysis, les hackers nord-coréens ont volé pour plus de 1,5 milliard d’euros en crypto-monnaie depuis 2017.

La crypto, terrain de jeu stratégique pour Pyongyang

Pour comprendre pourquoi des pirates nord-coréens s’attaquent aux entreprises de la blockchain, il faut revenir à la situation géopolitique du pays. Sous embargo international, asphyxié économiquement, le régime de Pyongyang voit dans la cybercriminalité une source de financement à la fois lucrative et difficile à tracer. Les crypto-monnaies, par leur nature décentralisée et pseudonyme, sont idéales pour contourner les sanctions.

Le groupe Lazarus, célèbre collectif de hackers affilié à la Corée du Nord, a déjà été identifié dans plusieurs attaques d’envergure visant des portefeuilles numériques, des plateformes d’échange ou des projets DeFi. En 2022, le piratage du jeu Axie Infinity aurait rapporté près de 620 millions de dollars (environ 580 millions d’euros) à ce groupe.

Ces opérations, parfois menées sous couvert de recrutements frauduleux ou d’ingénierie sociale, montrent à quel point les frontières entre guerre numérique, espionnage et cybercriminalité sont devenues floues.

Face à cette nouvelle forme de menace, les entreprises technologiques sont contraintes de revoir leurs protocoles de recrutement. Ce qui relevait autrefois du simple échange de CVs et d’entretiens vidéo devient désormais une zone à haut risque, où la vigilance doit être constante.

Kraken recommande, par exemple, de varier les méthodes de vérification, d’éviter les questions de contrôle classiques et répétées, et d’introduire des tests en temps réel. Car si les vrais candidats s’adaptent facilement, les imposteurs — surtout ceux opérant à distance sous de fausses identités — sont souvent déstabilisés par l’imprévu.

Un avant-goût de la cyberguerre du futur ?

L’histoire de Kraken est loin d’être un cas isolé. Elle illustre une tendance lourde, où les menaces ne viennent plus seulement des failles logicielles mais aussi des failles humaines. Dans un univers où les intelligences artificielles, les deepfakes et les identités numériques deviennent monnaie courante, il devient urgent pour les entreprises d’intégrer la cybersécurité à tous les niveaux, y compris dans les services les plus inattendus comme les ressources humaines.

Elle pose aussi une question plus large sur l’avenir des relations internationales. Si des États comme la Corée du Nord utilisent des moyens détournés pour contourner les sanctions, détourner des fonds et espionner des infrastructures critiques à l’échelle mondiale, comment garantir la souveraineté numérique des nations et la sécurité des entreprises dans un monde de plus en plus interconnecté ?

Au cœur de cette stratégie, on trouve la GenAI, l’intelligence artificielle générative, dont les avancées fulgurantes ont ouvert des possibilités presque illimitées en matière de création de contenus crédibles. Ce sont précisément ces outils, conçus à l’origine pour accélérer les processus créatifs, qui sont aujourd’hui détournés pour fabriquer des identités numériques fictives, rédiger des CV adaptés à chaque offre d’emploi, passer des entretiens en vidéo, et même interagir avec des collègues, le tout sans jamais révéler la véritable nature des « employés ». Derrière les écrans, c’est en réalité une armée coordonnée d’agents nord-coréens qui œuvre à distance, avec un objectif clair : contourner les sanctions économiques imposées par la communauté internationale et alimenter les finances de Pyongyang.

« Ferme de laptops » : le nouveau visage de l’espionnage numérique

Le terme peut sembler anodin, presque trivial. Pourtant, les « fermes de laptops » désignent des structures logistiques discrètes mais essentielles à l’efficacité de cette stratégie. Installées dans des pays tiers — parfois même aux États-Unis — ces plateformes sont dirigées par des facilitateurs : des individus chargés de réceptionner les ordinateurs envoyés par les entreprises, de configurer les machines, de créer les accès aux services internes et d’assurer la coordination entre les travailleurs fictifs et leurs employeurs.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

En 2024, un de ces facilitateurs a été identifié sur le sol américain. Il pilotait un centre dans lequel il aidait une équipe de faux travailleurs nord-coréens à maintenir leur couverture professionnelle, tout en leur garantissant un accès sécurisé aux infrastructures de leurs entreprises clientes. Et ce cas n’est pas isolé. En 2025, les autorités ont démantelé un réseau basé en Caroline du Nord, à l’origine de l’infiltration de dizaines de « collaborateurs » dans des entreprises américaines. Derrière chaque faux profil, il ne s’agissait pas d’un individu isolé, mais d’un maillon dans une organisation structurée, avec des tâches réparties, des comptes simulés, et une discipline inspirée des services secrets.

Grâce à l’IA, un faux développeur nord-coréen peut désormais passer un entretien en visioconférence avec un deepfake vocal et visuel, sans éveiller les soupçons.

Le rôle central de l’IA dans ces opérations dépasse la simple rédaction de documents. Les plateformes de génération de CV, dotées d’algorithmes d’apprentissage profond, permettent d’ajuster chaque document aux exigences des offres ciblées. Les candidats fictifs utilisent aussi des outils de suivi de candidature pour identifier les opportunités les plus accessibles, contourner les filtres automatiques et maximiser leurs chances de réussite. Plus inquiétant encore : certains facilitateurs publient eux-mêmes de fausses offres d’emploi, dans le seul but de comprendre les critères de sélection des recruteurs et de perfectionner leurs faux profils.

Les entretiens, étape souvent perçue comme décisive dans un processus de recrutement, ne constituent plus un frein pour ces acteurs malveillants. Grâce aux progrès du deepfake, un candidat peut aujourd’hui apparaître en visioconférence avec un visage généré par IA, synchronisé en temps réel avec une voix artificielle. Le tout est géré depuis les fermes de laptops, où plusieurs opérateurs se répartissent les tâches techniques et sociales, allant même jusqu’à interagir avec des collègues sur Slack ou GitHub pendant les heures de bureau.

En s’appuyant sur des plateformes RH factices, les espions nord-coréens retournent les algorithmes de recrutement contre les entreprises elles-mêmes.

Les conséquences sont multiples et préoccupantes. D’un point de vue économique, ces travailleurs infiltrés génèrent des devises étrangères — parfois plusieurs milliers de dollars par mois — qui échappent aux sanctions. À titre d’exemple, un développeur freelance employé sur des projets blockchain peut facturer entre 80 et 120 dollars de l’heure, soit environ 75 à 112 euros de l’heure. En travaillant simultanément sur plusieurs projets à distance, un seul individu peut engranger plus de 20 000 dollars (environ 18 700 euros) par mois. En réalité, ce n’est pas un individu, mais une équipe entière qui se partage les tâches et les revenus.

Sur le plan sécuritaire, ces intrusions fragilisent les systèmes d’information des entreprises. Même sans accès direct à des données sensibles, un faux collaborateur peut introduire des portes dérobées, siphonner des bases de données, ou compromettre l’intégrité des logiciels développés. Pour les entreprises visées, il devient alors presque impossible de retracer les actions malveillantes tant les identités ont été soigneusement élaborées.

Un défi pour les ressources humaines et la cybersécurité

Face à cette sophistication, les responsables RH et les équipes de cybersécurité se retrouvent démunis. Les procédures de vérification traditionnelles — entretiens, contrôles de références, tests techniques — ne suffisent plus. Certains experts recommandent désormais d’intégrer des audits réguliers des postes en télétravail, de renforcer la vérification biométrique ou de développer des systèmes d’authentification comportementale. Mais chaque avancée dans la détection semble aussitôt contournée par de nouveaux outils d’IA, toujours plus efficaces et difficilement traçables.

Paradoxalement, ce sont parfois les outils de sécurité eux-mêmes qui sont exploités à l’envers. En testant leurs faux profils contre des algorithmes de filtrage automatique, les agents nord-coréens affinent leur stratégie jusqu’à obtenir un taux de réussite optimal. Chaque échec devient une donnée d’apprentissage. Ce jeu du chat et de la souris algorithmique transforme les plateformes RH en véritables laboratoires de la désinformation.

Les États-Unis ne sont pas les seuls touchés. L’Europe, l’Asie du Sud-Est et le Moyen-Orient sont également ciblés. Des cas similaires ont été signalés en Allemagne, au Japon, et aux Émirats arabes unis, avec des modus operandi identiques. L’usage de VPN sophistiqués, l’obfuscation d’empreintes numériques et la segmentation géographique des connexions rendent l’attribution des faits extrêmement difficile. Les infrastructures de cloud sont utilisées pour dissimuler les mouvements de données et compartimenter les responsabilités.

Vers une militarisation numérique du télétravail

L’émergence des « Wagemoles », ces travailleurs clandestins manipulés par l’État nord-coréen, interroge la manière dont le monde du travail s’est transformé. Le télétravail, jadis perçu comme une libération des contraintes géographiques, devient une faille systémique. La promesse d’un recrutement mondial et diversifié se heurte à la réalité géopolitique : des régimes autoritaires exploitent les règles du jeu à leur avantage, tout en restant invisibles.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Le terme « Wagemole », contraction de wage (salaire) et mole (taupe), évoque à la fois l’avidité financière et l’infiltration silencieuse. Il cristallise les dérives d’un monde numérique sans frontières, où la confiance repose sur des pixels et des métadonnées. Dans ce théâtre d’ombres, l’intelligence artificielle n’est plus seulement un outil, mais un personnage à part entière — parfois allié, parfois ennemi.

Si l’on ignore encore combien d’entreprises ont été infiltrées avec succès, les premières estimations font état de centaines d’opérations en cours, réparties sur tous les continents. Certaines sociétés, souvent des startups en pleine croissance, n’ont tout simplement pas les moyens de détecter de telles menaces. D’autres choisissent de garder le silence pour éviter les conséquences en termes d’image ou de responsabilité légale.

Dans un monde de plus en plus interconnecté, comment s’assurer que derrière l’écran se cache bien la personne que l’on croit embaucher ?

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Bitcoin, Cybersécurité

Un professeur en cybersécurité se fait pirater

Un enseignant, spécialiste de la cybersécurité, se fait pirater 40 000€ via des appels téléphoniques !

Nous sommes dans la ville de Kemerovo, une ville industrielle de la fédération de Russie. Plusieurs écoles et université et des formations cybersécurité comme un peu partout dans le monde. Un professeur de cybersécurité a démontré que le « tout technique » était une grave erreur.

L’homme a versé, à la suite de plusieurs appels téléphoniques malveillants, pas moins de 40 000€ à des pirates.

Le schéma est pourtant très classique. L’enseignant a été appelé par des « agents des forces de l’ordre« . Les policiers lui ont expliqué que des pirates vendaient les données personnelles des enseignants dans le darkweb. Quelques heures aprés l’appel des fausses autorités, un « employé de banque » s’en est mêlé.

Il va expliquer qu’il fallait réduire au plus vite les possibilités des pirates de voler de l’argent. Ici aussi, un profil basic d’attaque, de social engineering : il fallait transférer tous les fonds de l’enseignant sur un « compte sécurisé« . Et devinez quoi ?

Le malheureux professeur a cru à cette légende, a vendu sa voiture, a contracté 4 crédits et a effectué une vingtaine de transferts d’une valeur de 40 000€.

Allô, Allô, monsieur l’ordinateur !

Pendant ce temps, aux États-Unis, des escrocs attirent les cryptomonnaies pour le compte du FBI. Récemment, le Federal Bureau of Investigation a mis en garde les habitants d’El Paso contre des escrocs qui se font passer pour des responsables du FBI. Ils ont tenté de convaincre les victimes de transférer des crypto-monnaies. Il convient de noter que le processus de traitement mis en place par les voleurs est divisé en plusieurs étapes afin de convaincre la victime de l’authenticité des informations prétendument fournies par le FBI.

Premièrement, les escrocs « réchauffent » une victime potentielle en lui envoyant une notification officielle au nom du bureau local du FBI. Dans le même temps, le faux document est d’assez bonne qualité : il est créé sur la base d’un formulaire officiel, porte le logo du FBI et la signature d’un agent spécial à El Paso. Une méthode utilisée par de nombreux pirates que le blog ZATAZ a infiltré, dans l’opération Border Collie, que vous pouvez découvrir dans cet article.

La fausse lettre du FBI précise qu’une enquête est en cours concernant des fuites de données personnelles ou des cyberattaques de pirates étrangers. L’objectif principal est de convaincre la victime que l’enquête est réelle. Après un certain temps, les escrocs contactent la victime potentielle par téléphone, se faisant passer pour des employés du FBI, et recommandent de transférer temporairement leurs actifs en crypto-monnaie vers un « compte spécial sécurisé du gouvernement américain ».

Cybersécurité, Entreprise

1 employé sur 10 respecte la cybersécurité de son entreprise !

Plus d’un tiers des travailleurs à distance ignore ou contourne les règles de cybersécurité de leur organisation. Seuls 16 % des travailleurs français à distance appliqueraient strictement les politiques de sécurité de leur entreprise.

Une étude baptisée « Au-delà des frontières : l’avenir de la cybersécurité dans le nouveau monde du travail » met en évidence les risques introduits par les employés français lorsqu’ils travaillent à distance. Lorsque Forrester Consulting, qui a réalisé l’étude pour Tenable, a demandé aux entreprises si elles étaient convaincus du respect des mesures cybersécurité de leurs employés, 39 % des responsables de la sécurité et des dirigeants d’entreprise ont répondu qu’ils étaient très ou complètement convaincus. Cependant, 34 % des employées assurent ignorer ou contourner ces mêmes mesures prises par l’entreprise.

Les entretiens réalisés avec les employés à distance ont montré une image différente de ce à quoi s’attendaient les dirigeants et les responsables IT. Lorsqu’on leur a demandé ce qui était important pour eux, 82 % des employés français travaillant à distance ont répondu que la protection des données des clients était assez ou très importante. Cependant, 64 % d’entre eux ont déclaré utiliser un appareil personnel pour accéder à ces informations. La situation est similaire en ce qui concerne la protection de la propriété intellectuelle de l’entreprise : 66 % des employés distants ont déclaré qu’elle était importante, tandis que 30 % utilisent un appareil personnel pour y accéder. En fait, seuls 61 % des employés à distance déclarent suivre systématiquement les mesures de protection des données, de la propriété intellectuelle et des systèmes de leur entreprise lorsqu’ils travaillent à domicile.

En creusant un peu plus, l’étude montre que seuls 18 % des employés à distance respectaient strictement les mandats de leur entreprise en matière de restriction d’accès aux données et aux systèmes via des appareils personnels. Cette situation est préoccupante si l’on considère que seulement 32 % des responsables de la sécurité estiment avoir une visibilité élevée ou complète sur les appareils appartenant aux employés. Le plus inquiétant est peut-être que 34 % des employés ont déclaré qu’ils ignoreraient ou contourneraient les politiques de cybersécurité de leur organisation, tandis que 36 % ont déclaré que l’un des défis auxquels ils étaient confrontés était le manque de clarté des politiques et pratiques de sécurité de leur organisation. Des données internes, professionnelles que les pirates adorent ! Le Service Veille de ZATAZ a d’ailleurs reçu, il y a quelques jours, un cadeau d’une société (qui en a profité pour souscrire un abonnement, merci 🙂 à la suite d’une découverte du SVZ : des données internes qui servaient à la préparation d’une fraude au président. Les factures et les informations incluent dans l’ensemble des documents étaient exploités, au téléphone, par un/des escroc(s).

« Les employés veulent avoir la possibilité de travailler de n’importe où. Le défi est de savoir comment ils peuvent le faire en toute sécurité, explique David Cummins, vice-président de la région EMEA chez Tenable. Cette étude confirme ce que nous soupçonnons déjà : les employés distants se connectent à des informations sensibles de l’entreprise à partir d’appareils personnels sur des réseaux domestiques non sécurisés. Les équipes de sécurité doivent accepter cette réalité et changer leur perception du risque. Elles ont besoin d’une visibilité sur l’ensemble du paysage des menaces et disposer de l’intelligence nécessaire pour prévoir les cybermenaces qui auront le plus grand impact sur l’entreprise. En tandem, elles doivent également mettre en œuvre des profils de risque adaptatifs pour les utilisateurs afin de surveiller et de vérifier en permanence chaque tentative d’accès aux données de l’entreprise, avec la possibilité de refuser les demandes qui ne répondent pas aux règles établies. »

Bitcoin, Cybersécurité

Les arnaques aux cryptomonnaies s’appuient sur la popularité d’Elon Musk et de YouTube

Selon une nouvelle étude publiée, les escrocs exploitent de plus en plus YouTube pour cibler les utilisateurs peu méfiants qui consultent les vidéos consacrées aux cryptomonnaies diffusées sur la plateforme. 

D’après cette étude, les escrocs sont en passe de dépouiller les utilisateurs de YouTube de près d’un million de dollars en achetant des espaces publicitaires sur les vidéos de cryptomonnaies diffusées sur YouTube, afin de promouvoir une fausse monnaie SpaceX dont ils prétendent, à tort, qu’elle a été créée par Elon Musk.

Cette campagne fait suite à une arnaque antérieure dans laquelle des cybercriminels avaient compromis des comptes Twitter et YouTube pour promouvoir une série de fraudes aux cryptomonnaies en prévision du passage d’Elon Musk, fondateur de Tesla et de SpaceX, à l’émission « Saturday Night Live ». Les escrocs ont ainsi dérobé plus de 10 millions de dollars en Bitcoins, en Ethereums et en Dogecoins. 

Satnam Narang, Principal Research Engineer, pour la société Tenable, estime que ces arnaques témoignent de la manière dont les media sociaux, et YouTube en particulier, sont de plus en plus utilisés par les escrocs pour perpétuer la fraude liée aux cryptomonnaies.

 «  Ces stratagèmes d’enrichissement rapide dans le monde des cryptomonnaies existent depuis 2017 et ne sont pas près de disparaître. La seule chose qui a changé, ce sont les tactiques employées par les escrocs pour amasser rapidement de l’argent. Les utilisateurs devraient donc se méfier des campagnes qui promettent des gains démesurés. Si c’est trop beau pour être vrai, il y a forcément anguille sous roche. « 

Les escrocs ne reculent devant aucune occasion pour créer de nouvelles monnaies et en faire la promotion sur les media sociaux ou, dans le cas présent, au travers de publicités sur YouTube. L’essor des protocoles de finance décentralisée (DeFi) et des échanges comme Uniswap a offert aux escrocs un nouveau moyen de dérober de l’argent à des utilisateurs peu méfiants, sans possibilité de le récupérer. La plupart des fraudes que j’ai pu observer ont tendance à se produire sur la blockchain d’Ethereum et sur la Smart Chain de Binance, qui est basée sur la blockchain d’Ethereum.

 Si les utilisateurs tombent dans le piège d’une arnaque aux cryptomonnaies, les chances qu’ils puissent récupérer leurs fonds sont très faibles, car il n’existe aucune autorité centralisée, telle qu’une banque, en mesure d’annuler les transactions. En raison du caractère décentralisé des cryptomonnaies, qui les distingue de la finance traditionnelle, il est d’autant plus important que les utilisateurs prennent les précautions nécessaires pour éviter d’être victimes d’arnaques aux cryptomonnaies.

Cybersécurité, Justice

WhatsApp : des fraudeurs arrêtés aux Pays-Bas

Des escrocs passant par WhatsApp arrêtés aux Pays-Bas. Ils usurpaient l’identités de vedettes et membres de famille pour réclamer de l’argent.

Une vedette dans le besoin vous contacte sur votre téléphone portable. Elle vous demande de l’aide, elle a besoin d’argent. Votre fils, votre fille, vos parents … Voilà l’histoire qui a impacté des centaines d’utilisateurs de l’application de communication WhatsApp. L’outil proposé par Facebook déborde d’arnaques en tout genre, certaines ayant permis le piratage de smartphones.
Mais rare sont les escrocs cachés derrière ces piratages retrouvés et  arrêtés. Cinq d’entre eux ont été stoppés par les autorités judiciaires des Pays-Bas fin août. Les voleurs se faisaient passer pour des vedettes dans le besoin, mais aussi pour des membres de la famille de la cible contactée sur WhatsApp.
Le pot aux roses a été découvert après la plainte d’un éditeur de logiciel et d’une utilisatrice. Les pirates s’étaient fait passer pour le fils de la dame. Les pirates lui avaient réclamé de l’argent. L’arnaque, baptisée  « fraude de type enfant-dans-le-besoin« , est très courante. Les voyous cachés derrière ce piège, originaires de Rotterdam, sont âgés de 18 à 21 ans. Ils passaient par un hôtel pour lancer leurs communications malveillantes.
Les autorités ont réussi à les tracer et les arrêter.
Bitcoin, cryptomonnaie

Cryptomonnaies : appât du gain, internautes et Youtube

Une chaîne de jeux diffusée sur Youtube, Neebs Gaming, piratée et exploitée durant quelques heures par des escrocs spécialistes des cryptomonnaies. Les pirates amassent plus de 24 000 dollars.

Cryptomonnaies – Voilà une nouvelle escroquerie Internet rondement menée. Des pirates ont réussi à dérober plus de 24 000 dollars à des internautes attirés par l’appât du gain. Les escrocs ont réussi à faire croire aux pigeons qu’ils toucheraient 10 fois la sommes qu’ils verseraient sur une adresse Bitcoin proposée par les voleurs.

Pourquoi rondement menée ? Les pirates ont d’abord ciblé un youtubeur à l’audience loin d’être négligeable : 1,8 million d’abonnés. Ensuite, créer une vidéo reprenant des contenus officiels. Le nom et la bannière de l’espace ont été changés. Les pirates ont ensuite diffusé le porte-feuille sur lequel les internautes ont été invités à verser leurs Bitcoins.

Les escrocs ont utilisé le nom du PDG de Coinbase Pro, Brian Armstrong, pour inciter les webspectateurs à cliquer sur un lien qui promettait des cadeaux sous forme de Bitcoin gratuits: « Le PDG de Coinbase a annoncé le plus grand crypto Air-Drop de 10 000 Bitcoins, en direct« .

95 000 internautes ont assisté à la diffusion en direct de l’arnaque. Plusieurs d’entre eux ont participé à hauteur de 2,465 BTC, soit plus de 24 000 $.

Cybersécurité, double authentification, Emploi, Entreprise, Fraude au président, Fuite de données, Sécurité, Securite informatique, Smartphone, Social engineering

La fraude dans les centres d’appels a augmenté de 350% en 4 ans

Fraude dans les centres d’appels : Les secteurs des assurances, des banques et du commerce de détail sont les industries les plus ciblées par cybercriminels.

La Fraude dans les centre d’appels prendrait de l’ampleur selon une étude récemment sortie. La société Pindrop, spécialiste de la sécurité et de l’authentification vocales, annonce dans son rapport sur l’intelligence vocale (Voice Intelligence Report 2018) que la fraude vocale est en hausse. Entre 2016, où 1 appels sur 937 était une tentative de fraude, et 2017, 1 appel sur 638. Le taux global de fraude vocale a augmenté de 47%. Une tendance à la hausse de 113% par rapport à 2016. Au cours des quatre dernières années, le taux de fraude a ainsi grimpé de plus de 350%. Aucun signe de ralentissement se fait sentir ! Aux Etats-Unis, le centre de ressources sur le vol d’identité (Identity Theft Resource Centre) a détecté jusqu’à 1 300 cas de fuites de données. Des chiffres à prendre avec des pincettes. Un grand nombre de fuites reste inconnu. En outre, les fraudeurs sont devenus plus sophistiqués, tirant parti de l’approche du shopping omni-canal. Par exemple, un fraudeur peut utiliser l’ingénierie sociale pour réinitialiser un mot de passe sur le compte d’une victime, puis utiliser ce mot de passe pour commettre une fraude en ligne.

Pindrop Labs a récemment mené une enquête méticuleuse sur les Serveur Vocaux Interactifs (SVI) dans une entreprise du fortune 500. Il a ainsi découvert que l’activité suspecte sur les serveurs vocaux interactifs représentait l’indicateur principal de la fraude multicanal. En moyenne, une activité suspecte sur les SVI donne lieu à une tentative de transaction frauduleuse dans les 15 jours suivants. Pour plus de 85% des transactions frauduleuses provenant d’un SVI, le délai de mise œuvre ne dépassait pas 24 heures.

Assurance, Banque et Commerce de détail : les secteurs cibles des fraudeurs

Cet intervalle de temps dans l’activité est typique des fraudeurs qui peuvent utiliser les SVI pour vérifier les listes de comptes compromis achetés dans le black market. L’intention peut alors être d’affiner et de revendre cette liste. Cette activité aide les cybercriminels à tirer profit des fuites de données personnelles sans prendre le risque de commettre des fraudes.

Les compagnies d’assurance connaissent le fort taux d’augmentation de fraude vocale, avec 36% de 2016 à 2017 et de 248% depuis 2015 ! Les banques arrivent en deuxième position. Les assurances, avec une augmentation de la fraude de 20% d’une année sur l’autre et une hausse record de 269% au cours des quatre dernières années ! Le secteur du commerce de détail les suit de près, avec une augmentation de 15% sur l’année et de 134% sur 4 ans. L’utilisation de la technologie vocale par les entreprises triplera au cours des douze prochains mois. Cependant, la révolution « Internet of ears » – qui désigne le phénomène par lequel de plus en plus d’objets connectés sont capable d’écouter ce qui se passe dans leur environnement et de répondre éventuellement à des instructions vocales – est bien parti pour être la plus grande menace.

Une menace grandissante

« Une des principales raisons pour lesquelles les taux de fraude augmentent est que la plupart des organisations luttent pour trouver le bon équilibre entre sécurité et service client. indique Vijay Balasubramaniyan, CEO et co-fondateur de Pindrop. Lorsque des mesures de sécurité traditionnelles plus strictes sont mises en place, ces mesures ont généralement un impact sur l’expérience client – souvent au détriment de l’organisation. La prolifération des technologies vocales continuera de mettre en danger la sécurité et l’identité des consommateurs. Actuellement, les fraudeurs peuvent facilement contourner les méthodes d’authentification existantes. Comme les entreprises adoptent les dernières technologies vocales pour la majorité des interactions avec leurs clients, il y aura un besoin parallèle de sécurité de premier ordre. »

Le rapport « Voice Intelligence Report 2018 » révèle que la voix synthétique est probablement l’une des technologies les plus excitantes aujourd’hui, et potentiellement la plus terrifiante pour la sécurité des données des consommateurs. Les entreprises utilisent déjà l’apprentissage automatique, ou machine learning, pour faire correspondre entre eux des dispositifs, des comportements et des voix. Cependant, les fraudeurs ont toujours une légère longueur d’avance. Ils utilisent l’apprentissage automatique pour créer des discours synthétiques, pour usurper des indentifications automatiques de numéros (ANI) et effectuer des appels automatisés pour attaquer en masse et pirater le SVI d’une organisation afin de vérifier les informations des comptes volés.

backdoor, Communiqué de presse, Cybersécurité, Mise à jour, Patch, Securite informatique

Malware Zacinlo : outil pour fraude publicitaire

2 commentaires

Un nouveau malware appelé Zacinlo, spécialisé dans la fraude publicitaire découvert. Il infecte le PC de l’utilisateur pour ensuite ouvrir des sessions de navigateur invisibles dans le but de charger des bannières publicitaires et de simuler des clics sur ces dernières, ou encore remplacer les publicités naturelles dans le navigateur par celles du pirate pour détourner les revenus publicitaires générés.

Cet adware a plusieurs caractéristiques qui ont attiré l’attention  :

  • Zacinlo contient un driver de type rootkit, qui se protège lui-même ainsi que ses autres composants. Celui-ci peut stopper des processus jugés dangereux pour le fonctionnement de l’adware, tout en empêchant son arrêt ou sa suppression. Les chercheurs ont également relevé la présence de fonctionnalités « man-in-the-browser » qui interceptent et déchiffrent les communications SSL. Cela permet à l’adware d’injecter du code JavaScript personnalisé dans les pages Internet visitées par l’utilisateur. Les malwares basés sur des rootkits sont EXTRÊMEMENT rares, et constituent généralement moins de 1% des menaces habituelles. Ils sont également très difficiles à éliminer car ils s’intègrent profondément au système d’exploitation.
  • Zacinlo inclut un programme de nettoyage d’adware, utilisé pour éliminer la « concurrence » potentielle pour l’espace publicitaire. Il est plutôt générique et ne cible pas de famille ou de type d’adware en particulier.
  • Il collecte des informations à propos de l’ordinateur infecté. Par exemple, si un logiciel antivirus est installé ou non (et si oui, lequel), quelles applications se lancent au démarrage, etc.
  • Il prend des captures d’écran et les envoie au serveur de commande et contrôle pour analyse. Cette fonctionnalité menace la vie privée des victimes car les captures d’écran peuvent contenir des informations sensibles telles que des e-mails, des conversations privées, des identifiants ou des coordonnées bancaires.
  • Il peut faciliter l’installation de quasiment n’importe quel nouveau logiciel de manière transparente, sans arrêter de fonctionner et ainsi étendre ses fonctionnalités.
  • Il ajoute ou remplace des publicités lors de la navigation en cherchant des objets de type « DOM » par taille, par style, par classe ou expressions régulières spécifiques.
  • Il extrait des publicités de plusieurs plateformes, dont Google AdSense.
  • Il ouvre des pages Internet en arrière-plan dans des fenêtres cachées, et interagit avec elles comme un utilisateur normal : en les faisant défiler, en cliquant et en utilisant le clavier. Il s’agit d’un comportement typique des fraudes publicitaires, qui inflige d’importants dommages financiers aux plateformes publicitaires en ligne.
  • Zacinlo utilise énormément de projets et de bibliothèques Open-Source (ex : chromium, cryptopop, jsoncpp, libcef, libcurl, zlib).
  • Il utilise des scripts Lua pour télécharger différents composants (très certainement afin de passer inaperçu aux yeux de certains programmes antivirus qui détectent les téléchargements suspects et les bloquent).
  • Il dispose d’un design extrêmement paramétrable et hautement modulaire, ce qui lui permet d’étendre ses fonctionnalités grâce à des scripts et des fichiers de configuration disponibles via les infrastructures de commande et contrôle.

Ce malware est présent principalement aux États-Unis et semble avoir une certaine affinité pour Windows 10. La France et l’Allemagne font également partie des pays qui en sont victimes, bien que le nombre d’infections soit un peu plus bas qu’aux États-Unis jusqu’ici.  Un livre blanc édité par BitDefender détaille ce nouveau malware ICI .

backdoor, cryptage, Cybersécurité, Securite informatique

La plateforme de jeux Steam visée par un schéma de fraude

Des analystes ont mis en lumière un schéma de fraude qui a permis à un cybercriminel de gagner des millions de roubles. Ce dernier, masqué sous le pseudo « Faker » a développé un système de « location de malwares » sur abonnement. Parmi les victimes de ce schéma frauduleux, de nombreux joueurs de la plateforme de divertissement Steam.

« Faker » utilise plusieurs méthodes. Le schéma principal qu’il a développé est appelé MaaS (Malware-As-a-Service). Il représente un système de location de programmes malveillants sur abonnement. Les « clients » de « Faker » qui souhaitent utiliser ce système n’ont rien à fournir à part de l’argent et, parfois, un nom de domaine : le créateur de virus leur fournit le Trojan demandé, l’accès au panneau d’administration et au support technique. Les chercheurs de Doctor Web estiment que sa solution « clé en main » lui a rapporté des millions de roubles.

Ce qu’ont gagné les « clients » reste à l’appréciation de chacun, sachant que l’argent dépensé en un mois d’abonnement peut être récupéré en un jour. Tous les logiciels malveillants créés par « Faker » représentent une menace pour les utilisateurs de la plateforme de jeux Steam.

Steam, une plateforme développée par Valve Corporation, distribue des jeux et programmes numériques. Un utilisateur enregistré sur Steam accède à un espace personnel avec tous les jeux et applis qu’il a achetés. Il est également possible d’effectuer des achats sur la boutique en ligne de Steam, ainsi que de vendre et d’échanger des objets de collection. Ces objets ont une valeur clé dans plusieurs jeux multi joueurs. Armes, munitions, et d’autres objets permettent au joueur de modifier son apparence et la représentation de ses possessions dans un jeu. Ces éléments peuvent être échangés sur des sites spécifiques ainsi qu’achetés ou vendus en monnaie réelle. Ceci représente la base sur laquelle « Faker » a construit son activité criminelle.

Une de ses méthodes pour gagner de l’argent implique une soi-disant « roulette ». C’est ainsi que les joueurs en réseau appellent les enchères au cours desquelles les participants listent simultanément plusieurs objets de collection. La possibilité de gagner dépend de la somme engagée par les participants et le gagnant remporte tous les objets mis aux enchères. Ce qui est frauduleux est que le joueur véritable se trouve en face de bots qui sont sûrs de remporter l’enchère. Parfois, une victime potentielle se voit proposer l’administration d’un de ces jeux et est également « autorisé » à gagner plusieurs fois avant la mise en jeu d’éléments chers qui sont sûrs d’être perdus au profit des cybercriminels.

Le panneau d’administration des « roulettes » permet une configuration flexible du design du site d’enchères et de ses contenus affichés ; il permet la modification des noms et textes dans le chat, le contrôle des mises et l’affichage des objets mis en jeu par les autres joueurs. Il peut également servir à contrôler tout le système de « roulette ». Par ailleurs, « Faker » prête ses logiciels malveillants à d’autres cybercriminels. L’un de ces malwares nommé Trojan.PWS.Steam.13604 a été créé pour voler les données des comptes des utilisateurs de Steam. Après un mois d’abonnement, le créateur du malware fournit aux cybercriminels un fichier malveillant assemblé spécialement pour eux ; il leur donne également l’accès au tableau de bord.

Le Trojan est diffusé par différentes méthodes. L’une d’entre elles utilise l’ingénierie sociale : un utilisateur Steam reçoit un message lui disant que plusieurs membres de la communauté ont besoin d’un nouveau joueur pour former une équipe. Après une partie collective et dans le but d’une future collaboration, la victime est invitée à télécharger et à installer un client pour passer des appels. Les cybercriminels envoient à la victime un lien vers un faux site web pour télécharger l’appli. Lorsque la victime clique sur le lien, un Trojan masqué derrière un programme est téléchargé.

Si la victime potentielle utilise déjà TeamSpeak, elle reçoit une adresse de serveur utilisé par une équipe de joueurs pour communiquer. Après s’être connectée à ce serveur, la victime voit s’afficher une fenêtre de dialogue invitant à mettre à jour un des composants de TeamSpeak et un driver de sous-système audio. Déguisé derrière cette mise à jour, le malware est téléchargé sur l’ordinateur. Lorsqu’il se lance, le Trojan décharge le processus de Steam (si ce processus n’est pas le sien) puis trouve le chemin vers le répertoire Steam, la langue de l’application et le nom de l’utilisateur. Si l’un des fichiers système de Steam est disponible, Trojan.PWS.Steam.13604 en extrait des paires représentant des identifiants steamid64 et des noms de comptes. Puis le malware envoie l’information à son serveur de commande et contrôle. Ceci inclut la version de l’OS, le nom de la machine et de l’utilisateur, la langue de l’OS, le chemin vers Steam, la langue de l’appli etc.

Lorsque les actions qui lui sont commandées sont effectuées, le malware supprime le fichier original de Steam et se copie lui-même à sa place. Pour empêcher l’utilisateur de mettre à jour Steam et d’accéder au support technique, le Trojan modifie le contenu du fichier hôte en bloquant l’accès aux sites web steampowered.com, support.steampowered.com, store.steampowered.com, help.steampowered.com, forums.steampowered.com, virustotal.com, etc. Puis le Trojan.PWS.Steam.13604 affiche une fausse fenêtre d’authentification Steam. Si l’utilisateur entre ses identifiants, le malware tente de les utiliser pour s’authentifier sur Steam. S’il y parvient et que Steam Guard – un système d’authentification à deux facteurs, destiné à protéger les comptes utilisateurs – est activé sur l’ordinateur, il affiche une fausse fenêtre où entrer le code d’authentification. Toutes ces données sont envoyées sur le serveur des cybercriminels.

Le créateur du virus utilise le même serveur de commande et contrôle pour tous ses « clients ». Les données obtenues forment un fichier que les cybercriminels utilisent pour accéder aux comptes Steam. L’interface du panneau d’administration du Trojan.PWS.Steam.13604 est la suivante :

« Faker » loue également un autre Trojan qu’il a créé. Il apparaît comme Trojan.PWS.Steam.15278 dans la nomenclature Dr.Web. Il est distribué de la même façon et son objectif est de voler des inventaires de jeu. Les cybercriminels peuvent vendre les objets virtuels qu’ils ont volé aux autres joueurs. Le créateur du virus fait de la publicité pour son « service de location » de ce malware sur des forums spécialisés.

Pour fonctionner, le Trojan.PWS.Steam.15278 utilise Fiddler, un outil gratuit d’analyse de trafic, lorsqu’il est transféré via le protocole http. Son fonctionnement est basé sur le principe du serveur proxy. Fiddler installe un certificat root dans le système, ce qui permet au malware d’intercepter le trafic HTTPS chiffré. Il intercepte également les réponses du serveur et les modifie.

Si un joueur dont la machine est infectée échange des éléments avec d’autres joueurs sur des marchés spécialisés comme opskins.com, igxe.cn, bitskins.com, g2a.com, csgo.tm, market.csgo.com, market.dota2.net et tf2.tm, le malware modifie le destinataire des objets de collection au moment de l’échange.

Voici le fonctionnement du schéma : lorsque l’utilisateur liste les éléments à vendre ou à échanger, le malware se connecte à son compte et vérifie les offres entrantes à intervalles réguliers. Si le joueur reçoit une offre, le malware la supprime, identifie le nom de l’utilisateur, son icône et le texte du message de la requête d’origine puis envoie à la victime exactement la même requête mais depuis le compte des cybercriminels. Concrètement, cet échange est effectué grâce à des injections web : Trojan.PWS.Steam.15278 injecte à des pages web un code malveillant qu’il reçoit de son serveur C&C (Commande & Contrôle). « Faker » est l’auteur d’autres Trojans qui fonctionnent de la même façon et sont déguisés derrière des extensions pour Google Chrome.

Lors de l’échange d’éléments via le site officiel steamcommunity.com, Trojan.PWS.Steam.15278 permet aux cybercriminels de remplacer l’affichage des objets de collection des joueurs. Il modifie les contenus des pages web du site steamcommunity.com de façon à ce que les joueurs voient une offre pour un objet très cher et très rare. Si un joueur accepte l’offre, il recevra en réalité un objet banal et bon marché. Il est également pratiquement impossible de revenir sur la transaction après coup parce que le serveur considère que le joueur a accepté l’échange. Voici une illustration de ce schéma frauduleux : sur le site steamcommunity.com, le joueur dont la machine est infectée verra qu’un autre joueur offre soi-disant d’échanger un objet de collection appelé « PLAYERUNKNOWN’s Bandana” valant 265,31$. En réalité, une fois le marché conclu, l’utilisateur reçoit « Combat Pants (White) » dont le prix est de 0,03$.

De manière générale, le tableau de bord du Trojan.PWS.Steam.15278 est identique au panneau d’administration de Trojan.PWS.Steam.13604. Cependant, la version mise à jour comporte une section supplémentaire qui permet aux cybercriminels de contrôler la substitution des objets de collection lors des échanges. Ils peuvent configurer les images et les descriptions d’objets destinés à rempacer les vrais objets et à être présentés aux joueurs. Ensuite, les cybercriminels peuvent vendre les objets obtenus illégalement contre de l’argent réel sur les plateformes de commerce réseau.

Base de données, Cybersécurité, Emploi, Entreprise, Fraude au président, ID, Identité numérique, Justice, santé, Sauvegarde

Piratage de données ? 1,5 million de données étudiants à vendre sur le web

Piratage de données ? Numéros de téléphone, adresse électronique, … appartenant à plus d’1,5 million d’étudiants en vente sur le web.

Le piratage de données privées est une manne financière loin d’être négligeable pour les pirates informatiques. 1,5 million d’étudiants Indiens en font les frais, sauf que dans ce cas, il ne semble pas s’agir de données « piratées ». Depuis quelques jours, dans le Blackmarket, leurs données sont à vendre. Identités, adresses postales et électroniques, numéros de téléphone mobile, … sont commercialisées entre 13 et 800 euros ! D’après les échantillons qu’il est possible de trouver sur des sites tels que studentsdatabase.in, kenils.co.in et allstudentdatabase.in, les informations appartiennent à des étudiants ayant passé les tests d’entrée en MBA (santé et ingénierie) depuis 2009. Une fuite de données qui étonne en Inde d’autant plus que les sites n’expliquent pas d’où proviennent leurs informations qu’ils commercialisent.

L’affaire n’aurait pas connu un aspect public si des écoles de commerce n’achetaient pas les informations en question pour leurs démarchages. Il faut savoir qu’en Inde, tout comme en France, le collecte de données est illégale sans l’accord des personnes concernées pas cette collecte. En France, la loi Informatique et Liberté veille à ce sujet. Ce qui ne m’empêche pas de trouver, chaque jour, des milliers de données appartenant à des Français, oubliés/sauvegardés sur des sites Web sans aucun respect de la loi et de l’éthique. Autant de données que peuvent collecter des malveillants du web, qu’ils soient professionnels du marketing ou de « simples » pirates informatiques.