Jump to content
publicité

Recommended Posts

Posted

Hameçonnage par texto L’A25 comme appât, un système russe comme allié

784c99eb749138a3883912ecfddd1a1f.jpg

PHOTO JOSIE DESMARAIS, LA PRESSE

Des messages textes frauduleux circulent pour exiger de Québécois le règlement de « frais impayée » (sic) après l’utilisation du pont à péage de l’A25.

Une vague de messages textes malveillants qui déferle sur le Québec est liée à une infrastructure russe responsable de nombreuses attaques et opérations d’hameçonnage partout dans le monde dans les dernières semaines, a constaté La Presse.

Dans les derniers jours, de nombreux Québécois ont reçu des textos sur leur téléphone cellulaire exigeant le paiement d’une contravention pour excès de vitesse.

« Un radar a détecté que votre véhicule circulait à 56 km/h dans une zone scolaire limitée à 30 km/h », indiquent les messages en provenance de différents numéros de téléphone bidon. « Veuillez régler cette infraction avant le 4 février 2024 afin d’éviter des frais de retard excessifs. »

Les liens sur lesquels on est invité à cliquer conduisent à des pages qui reprennent en tous points l’environnement graphique du site web du ministère de la Justice du Québec. Des coordonnées personnelles et des informations bancaires y sont demandées ; celles-ci pourront ensuite être vendues dans le web clandestin (dark web) ou utilisées pour réaliser des transactions courantes.

Cette technique d’hameçonnage (phishing) par texto (smishing) a le vent dans les voiles, notamment en raison de la facilité avec laquelle les fraudeurs de partout dans le monde peuvent opérer sans être inquiétés par les autorités.

« Il n’y a pas nécessairement plus de tentatives, mais elles sont plus ciblées », explique Fyscillia Ream, coordonnatrice scientifique à la Chaire de recherche en prévention de la cybercriminalité. Et les fraudeurs, note-t-elle, sont plus réactifs à l’actualité. Elle cite par exemple l’envoi massif de textos frauduleux après une panne d’Hydro-Québec causée par une tempête de verglas en avril dernier.

 

Vendredi dernier, le ministère de la Justice a tenu à rappeler par communiqué qu’il ne joignait jamais le public par texto. Il « demande aux citoyennes et citoyens qui reçoivent un tel message de n’ouvrir aucune pièce jointe, de ne cliquer sur aucun hyperlien, de ne transmettre aucune information personnelle et de supprimer le message ».

Depuis le mois de décembre, des messages circulent en outre pour exiger de Québécois le règlement d’un « frais impayée » (sic) après l’utilisation du pont Olivier-Charbonneau (pont à péage de l’A25).

Là encore, la plateforme du gestionnaire est reproduite à l’identique. « C’est à s’y méprendre », lance Sylvie Godin, porte-parole de Transurban, entreprise australienne qui gère l’autoroute et le pont par l’entremise de la société Concession A25. « Les imitations de logos et de sites web, c’est ce qui est bouleversant. »

Exemples de sites internet frauduleux
 
1/4
 
 

Mme Godin tient à préciser que la réception de textos malveillants par des usagers du lien routier n’est aucunement liée à une brèche informatique dans les systèmes de Transurban. Elle explique aussi que l’entreprise ne communique pas au moyen de la messagerie texte.

Paradis pour les pirates

Les URL incluses dans les textos récents faussement attribués à Concession A25 ou au ministère de la Justice ont en commun une même adresse IP hébergée par l’entreprise Prospero, située en Russie. Des centaines de sites frauduleux en émanent, imitant notamment l’identité de services comme Netflix, Amazon et Spotify.

L’infrastructure en cause : le système autonome russe AS200593, au cœur de cybermenaces contre des organisations mondiales. « Un système autonome est comme un grand quartier sur l’internet avec ses propres règles et méthodes de gestion du trafic », explique Adam Lopez, expert de la firme américaine de sécurité informatique HYAS.

L’entreprise de San Francisco a neutralisé au moins une fraude au faux technicien – le fraudeur se faisait passer pour un employé afin d’installer un logiciel malveillant dans les appareils de « collègues » d’une banque mondiale – exploitant l’infrastructure AS200593.

Des fraudeurs ont récemment inscrit dans ce « quartier » russe une multitude de noms de domaine pour piéger les Québécois.

« Ils sont enregistrés en grand nombre car leur utilisation est généralement de courte durée », précise David Brundson, ingénieur en sécurité et « pirate éthique » chez HYAS.

Sites frauduleux partageant l’infrastructure AS200593*

  • servicefacture-quebec.com
  • paimentqc-infraction.com
  • qc-amendeservice.com
  • qcinfraction.com
  • a25site.com
  • a25service.com
  • a25qc-paiement.com
  • a25pont-payment.com
  • a25can.com
  • a25cafacture.com
  • a25ca-site.com
  • a25ca-facture.com
  • a25-supports.com
  • a25-servicefacture.com
  • a25-pontpayent.com
  • a25-pontpayants.com
  • a25-facture.com
  • a25-aide.com
  • a-25pont.com
  • a25caweb.com
  • a25facturation.com
  • ponta25-webpaiement.com
  • a25-facture-enligne1.com
  • a25-express.com
  • payment-a25.com
  • a25fac.com
  • a25web.com
  • a25-webclient.com
  • a25sitefacture.com

* Selon le site d’analyse web urlscan.io

Des pirates russes connaissent-ils donc le pont Olivier-Charbonneau, entre Montréal et Laval ?

« Les fraudeurs peuvent utiliser des serveurs mandataires inverses [reverse proxys] et des services VPN pour masquer leur véritable emplacement, en donnant l’impression qu’ils se trouvent en Russie alors qu’ils pourraient opérer à partir de n’importe quel endroit dans le monde », explique M. Lopez.

L’entreprise russe Prospero, derrière le système autonome AS200593, « semble être un service pare-balles [bulletproof hosting, type d’hébergement web qui échappe aux autorités], un facteur clé pour permettre la fraude », ajoute M. Brundson. « Toute société d’hébergement digne de confiance a intérêt à éliminer les sites malveillants de sa plateforme, sous peine de voir sa responsabilité engagée. »

Le système AS200593 héberge aussi des simulacres de sites d’organisations canadiennes comme Postes Canada, l’autoroute à péage 407 ETR à Toronto ou la Ville de Vancouver.

40fcbfdcbe8a3f9d80eb808f53341c48.jpg

CAPTURE D’ÉCRAN LA PRESSE

Avertissement de Google signalant un site frauduleux

Selon l’équipe de cybersécurité de Google, le Threat Analysis Group (TAG), les tentatives d’hameçonnage en provenance de la Russie contre des citoyens de pays membres de l’OTAN ont triplé de 2020 à 2022, année marquée par l’invasion de l’Ukraine.

Le climat politique est un facteur important. De nombreuses campagnes de fraude importantes proviennent d’endroits où les forces de l’ordre locales ne tiennent pas compte des plaintes émanant d’autres pays.

David Brundson, ingénieur en sécurité et « pirate éthique » chez HYAS

Dans son essai This Is How They Tell Me the World Ends : The Cyberweapons Arms Race, la journaliste américaine Nicole Perlroth souligne que Vladimir Poutine a instauré seulement deux règles en matière de piratage : « ne pas mener d’attaque au sein de la mère patrie » et « répondre aux demandes du Kremlin ».

Des attaques clés en main

Mener des opérations de phishing anonyme comme celles qui ont cours actuellement au Québec est un jeu d’enfant partout dans le monde. Nul besoin d’avoir des connaissances informatiques ou des équipements avancés.

Sur la plateforme de messagerie Telegram, créée en Russie et établie à Dubaï, de nombreux usagers offrent des ensembles d’hameçonnage clés en main. Vantant ses trois années d’expérience, un codeur propose pour un seul prix la conception de la page d’accueil, l’hébergement web, l’inscription du nom de domaine ainsi que des instructions de démarrage.

Des trousses « prêtes à l’emploi » vendues de 40 à 150 $ montrent des interfaces factices du réseau social Snapchat, du géant des télécommunications T-Mobile, du service de livraison UPS ou encore de l’entreprise de lutte WWE.

 
 
1/2
 
 

Selon les forfaits, le pirate promet aux fraudeurs de collecter auprès des usagers des informations telles que leur prénom, leur nom de famille, leur adresse postale, leur numéro de téléphone ainsi que toutes les données de leur carte de crédit : numéro, cryptogramme et date d’expiration.

Contacté sur Telegram par La Presse, cet usager a assuré pouvoir nous fournir une réplique du portail du site de paiement du ministère de la Justice du Québec et tous les outils pour mener à bien notre opération d’hameçonnage. Coût ? « Allons-y pour 150 $. »

En prime, notre interlocuteur mentionne qu’il peut nous transmettre 45 000 numéros de téléphone issus d’une brèche de sécurité « récente » au Québec.

Est-ce que notre opération sera 100 % anonyme ? demandons-nous. « Oui », nous assure-t-on. « Nos VPS [serveurs privés virtuels] sont situés à Kyiv, en Ukraine. Ils ignorent aussi le DMAC [Digital Millennium Copyright Act, loi américaine qui permet la suppression de contenus]. Nous commandons [les serveurs] avec de fausses informations au moyen de cryptomonnaies. »

7b0ca0c91f853526a36246cb3d9d39b8.jpg

CAPTURE D’ÉCRAN LA PRESSE

Extrait de la conversation Telegram entre un usager offrant des trousses d’hameçonnage et La Presse

La Presse n’a pas conclu de transaction, contrairement à des centaines d’utilisateurs de Telegram qui sont abonnés à de tels services.

Qu’elles proviennent de l’Ukraine, de la Russie ou d’autres terreaux de la cybercriminalité, les tentatives d’hameçonnage n’ont pas fini de polluer les boîtes de messagerie des Québécois, croit Fyscillia Ream.

« Si c’est important, on trouvera un moyen de vous joindre autrement, dit-elle. Il vaut mieux ne jamais cliquer sur le lien d’un texto et contacter directement l’entreprise ou l’institution avant de faire un paiement. »

  • Thanks 4
publicité

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Countup


  • Les dernières mise à jour

    1. 490

      Hydro-Québec : actualités

    2. 3,673

      Série de vieilles photos de Montréal

    3. 3,673

      Série de vieilles photos de Montréal

    4. 236

      La Tour Fides - 19 étages

×
×
  • Create New...