cybercriminalite
Recherche sur les menaces

Des escrocs qui arnaquent d’autres escrocs sur les forums de cybercriminalité (3ème Partie)

Une sous-économie souterraine qui est bien plus qu'une simple curiosité : en effet, c'est un business en plein essor, et aussi une opportunité pour les défenseurs.

Dans ce troisième article de notre série qui en compte quatre, nous allons nous pencher sur le curieux cas de ces vingt fausses marketplaces.

Dans le premier article de cette série, nous avons présenté cette sous-économie souterraine où ‘des escrocs arnaquent d’autres escrocs’, et dans le second, nous avons passé en revue les différents types d’escroquerie rencontrés sur les forums cybercriminels.

Ce troisième article est un peu différent. Il traite d’une escroquerie particulière que nous avons découverte au cours de nos recherches, et que nous souhaitons vous présenter en raison de son ampleur, de ses différents niveaux de coordination et de son succès apparent.

L’étrange cas de ces vingt fausses marketplaces

Au cours de nos recherches sur Genesis Market, nous avons trouvé un site clearnet (genesismarket[.]org) qui ne ressemblait en rien au véritable site Genesis Market, mais qui figurait en bonne place dans les résultats des moteurs de recherche.

cybercriminalite

Figure 1 : Le faux site Genesis Market

Nous avons rapidement compris que le site ne semblait pas être connecté au véritable site Genesis Market. D’une part, le site exige un dépôt de 100 dollars (USD), alors que le vrai site Genesis ne fonctionne que sur invitation.

cybercriminalite

 

Figure 2 : La demande de dépôt sur le faux site Genesis

Le site demande aux utilisateurs de payer en Bitcoin ou Monero :

cybercriminalite

Figure 3 : La page de dépôt du faux site

Ces premiers indices, et quelques autres éléments (tels que le bouton “lost password“, à savoir ‘mot de passe perdu‘) ne menant nulle part, et certains “messages du forum” falsifiés) nous ont amenés à supposer qu’il s’agissait d’une arnaque grossière, simple à mettre en œuvre et étant certainement à usage unique, conçue pour duper des experts inexpérimentés, des acteurs malveillants potentiels et des personnes curieuses, en général.

cybercriminalite

Figure 4 : Certains des faux messages du forum ne demandant pas beaucoup d’effort

Mais trois éléments ont tout de même retenu notre attention.

Le premier était que le lien onion sur la page d’accueil ne renvoyait pas du tout vers un site onion, mais vers genesismarket[.]org/benumbiernqlud55izbw4mdubush4zhzpg4rw3c2j6ew3ggpzbb7gdqd[.]onion. Benumb est un site de carding, et nous nous sommes demandé si un individu de cette marketplace n’était pas à l’origine de cette arnaque et n’avait pas fait une erreur au niveau du lien.

Le deuxième était que le bouton ‘Copy address’ (Copier l’adresse) sur la page de dépôt déclenchait du JavaScript, qui copiait une adresse Bitcoin différente dans le presse-papiers :

cybercriminalite

Figure 5 : Cliquer sur le bouton “Copy address” déclenche la copie d’une adresse différente dans le presse-papiers

Et le troisième était qu’un individu avait activement fait la promotion de ce site sur Reddit, suggérant ainsi que l’arnaque était certainement bien plus coordonnée que nous ne le pensions au départ :

cybercriminalite

Figure 6 : Un message Reddit maintenant supprimé faisant la promotion du faux site

Nous avons visité le lien “Benumb” et avons trouvé un site configuré exactement de la même manière, avec la même demande de 100 $ (bien qu’associé à des adresses Bitcoin et Monero différentes) :

cybercriminalite

Figure 7 : La fausse page Benumb, avec un alerte de phishing légèrement ironique

cybercriminalite

Figure 8 : La fausse page du portefeuille de Benumb

Et lorsque nous avons regardé les numéros de carte de crédit sur la page d’accueil, nous avons découvert qu’ils étaient identiques à ceux répertoriés sur le faux site Genesis.

cybercriminalite

Figure 9 : Les numéros de carte de crédit et les détails présents sur la fausse page d’accueil de Benumb…

cybercriminalite

Figure 10 : … qui sont exactement les mêmes que ceux présents sur le faux site Genesis

Nous avons commencé à interroger les moteurs de recherche concernant des parties du texte, les détails de la carte de crédit et les adresses de crypto-monnaie, pour trouver d’autres sites créés par le même escroc.

Au total, nous avons trouvé vingt sites, enregistrés entre août 2021 et juin 2022, qui, selon nous, sont exploités par le même individu ou groupe. Pratiquement tous imitent des marketplaces cybercriminelles existantes ou disparues (notamment plusieurs versions frauduleuses de Genesis, Benumb, UniCC et Pois0n), et demandent un dépôt de 100 $ pour l’activation et ont des designs similaires. Certains utilisent la même bizarrerie concernant la substitution au niveau du presse-papiers, et d’autres non. Nous avons également observé quelques autres différences mineures, comme la couleur de l’arrière plan ou de légères modifications au niveau du texte.

cybercriminalite

Figure 11 : Une version frauduleuse de YaleLodge, une marketplace cybercriminelle

cybercriminalite

Figure 12 : Une version frauduleuse d’une autre marketplace, WWH Club

cybercriminalite

Figure 13 : Une version frauduleuse du Brian’s Club, encore une autre marketplace cybercriminelle

cybercriminalite

Figure 14 : Une version frauduleuse du site de carding UniCC (le site authentique a fermé en janvier 2022). Notez que ce site contient également un lien vers le faux site Benumb

cybercriminalite

Figure 15 : Une version frauduleuse de Pois0n, une autre marketplace cybercriminelle

En cours de route, nous avons trouvé des preuves que l’escroc faisait la promotion d’autres sites sur Reddit :

cybercriminalite

Figure 16 : Un post Reddit faisant la promotion d’un des faux sites Benumb

Nous avons trouvé une anomalie, un site appelé ‘Cashout Guide’, qui prétend enseigner aux utilisateurs le carding et la fraude (moyennant des frais, bien entendu), qui a néanmoins une apparence similaire aux marketplaces frauduleuses :

cybercriminalite

Figure 17 : Les différents niveaux disponibles sur le site Cashout Guide

Sur les vingt sites que nous avons trouvés, treize ne sont plus actifs. La plupart sont des sites clearnet, bien que nous ayons découvert trois sites onion (et un site clearnet se faisant passer pour un site onion).

Voici une liste complète, ainsi que les adresses Bitcoin associées et les informations d’enregistrement (le cas échéant) :

Site Inscription WHOIS Registrar BTC
genesismarket.org 09/06/2021 Tucows 1QF54J6rXoo53ig93XgqX7rXtWSC2zemnS
18EFRk7XtHLPXnGDkz2Z9g2Juk5pppaWgH
wwh.club 05/09/2022 Porkbun 15NGE3k3RsCw4dFRVXYjpW2xsNyT96hNuE
brians.cards 02/22/2022 Tucows 1Q5AKMFfhV2jTu1Jjpm1pMP7qabApe9Xr
uniccards.com 02/09/2022 Namecheap 1Q5AKMFfhV2jTu1Jjpm1pMP7qabApe9Xr
benumb.cards 08/28/2021 Tucows 1QF54J6rXoo53ig93XgqX7rXtWSC2zemnS
yalelodge.cards 02/09/2022 Tucows 1QF54J6rXoo53ig93XgqX7rXtWSC2zemnS
unic.cards 02/09/2022 Tucows 1KjZcgsTh9SZJiLDHBYQem96Z4CwbgQPL2
pois0n.cards 04/22/2022 Tucows 14KRaiCZp2zYPyRqVd3AHbyjT6qPcSnMKn
pois0n.shop 04/22/2022 Namecheap N/K
genesismarket.app 04/27/2022 Tucows 18EFRk7XtHLPXnGDkz2Z9g2Juk5pppaWgH
benumb.shop N/K Namecheap N/K
benumb-cc.shop 04/27/2022 Namecheap N/K
bydto.com 04/08/2022 Tucows N/K
cashouts.guide 03/10/2022 Hosting Concepts B.V. 14ZFe4BH5FdfvdyndxfK4rwJtf3oPHjTgS
bennumb.cards 02/17/2022 N/A bc1qn2gfx8x9t234s8ncs80k3mrf5359g34xkxj0j8
benumbiernqlud55izbw4mdubush4zhzpg4rw3c2j6ew3ggpzbb7gdqd.onion N/A N/A 15NGE3k3RsCw4dFRVXYjpW2xsNyT96hNuE
shops4knpoaodqdvs3tgzctkwk2cot6nggtyfpfxjuno23brpzpaquyd.onion N/A N/A 1FWrm3Z1g2W4kEQXgsUyHXEk2S9dTVK54P
j4j245araf5zxzd6z342a7cmakooyx3g7rt4oluffu6zimjshtbkpsid.onion N/A N/A N/K
benumbie55bw4mdubszhzpg4rw3c2j6ew3gpzbb7gdqd.online 06/23/2022 Gransy s.r.o. bc1q2jw57fy5cf5rrdcdjcdwz34nln5xmycpunzay8
rainblack.com 06/07/2022 Porkbun N/K

Tableau 1 : Les sites que nous avons découverts

Lorsque nous avons rassemblé les informations de toutes les adresses Bitcoin (de par leur conception, les soldes des adresses Monero étaient masquées), nous avons constaté que ce réseau frauduleux était lucratif. Ensemble, ces adresses ont reçu plus de 132 000 $, et la majeure partie a été retirée, laissant un solde total de seulement 1 633,34 $.

Nous ne pouvons pas dire avec certitude si toutes les entrées de ces adresses sont liées à l’arnaque (c’est-à-dire que nous ne savons pas si l’escroc les a utilisées pour mener d’autres activités), et dans certains cas, les dates n’aident pas vraiment (en effet, certaines adresses ont effectué leur première transaction avant que le ou les sites associés ne soient enregistrés, de sorte que certaines entrées peuvent n’avoir aucun rapport avec l’arnaque en question). Mais même sans ces exemples, il y avait encore 87 676 $ dans ces portefeuilles.

Une grande question reste en suspens : qui était derrière cette arnaque ?

Nous avons découvert une information que nous pensions être un indice : sur certains sites, le pied de page contient un lien vers un site Web appelé darknet[.]markets (il semble y avoir quelques versions de ce site avec un contenu très similaire, notamment darknetmarket[.]org et darknetmarket[.]org).

cybercriminalite

Figure 18 : Un lien vers darknet[.]markets sur le site frauduleux unic[.]cards

Ces sites sont des index de marketplaces cybercriminelles sur le dark web, destinés aux visiteurs intéressés par la vente de drogues, le carding et les échanges de crypto-monnaie. Non seulement ils ressemblent aux marketplaces frauduleuses (et avec des détails d’hébergement / d’enregistrement similaires), mais ils répertorient également plusieurs des fausses marketplaces que nous avons découvertes.

cybercriminalite

Figure 19 : La section “carding” sur dark[.]markets

La plupart des notifications d’activation sur les marketplaces frauduleuses mentionnent un forum de carding sur la marketplace cybercriminelle Dread (également connue sous le nom de Café Dread). Nous avons recherché les noms des sites d’index sur Dread et avons trouvé un message provenant d’un utilisateur appelé waltcranston (le nom d’utilisateur est probablement inspiré de la série télévisée Breaking Bad), qui prétendait les avoir créés :

cybercriminalite

Figure 20 : Message de waltcranston (maintenant supprimé)

Nous avons également trouvé au moins un utilisateur de Dread qui semblait avoir été piégé par l’une de ces arnaques :

cybercriminalite

Figure 21 : Message d’un utilisateur de Dread

Nous sommes allés plus dans le détail des sites d’index et avons trouvé waltcranston en bonne place dans la section “Drug Markets”:

cybercriminalite

Figure 22 : Lien onion de waltcranston sur un des sites d’index

waltcranston est un revendeur de méthamphétamine autoproclamé sur Dread et d’autres marketplaces telles que Alphabay. De son propre aveu, il est basé aux États-Unis :

cybercriminalite

Figure 23 : waltcranston prétend être basé aux États-Unis

Son site Web semble utiliser un modèle similaire aux marketplaces frauduleuses, et la version clearnet a des détails concernant l’hébergement et l’enregistrement similaires :

cybercriminalite

Figure 24 : Site de vente de waltcranston

Nous avons également découvert que l’un des faux messages du forum sur au moins l’une des marketplaces frauduleuses a été écrit par waltcranston :

cybercriminalite

Figure 25 : Un message du forum sur l’une des fausses marketplaces de Benumb

waltcranston utilise à la fois Bitcoin et Monero, comme indiqué dans cet article :

cybercriminalite

Figure 26 : Dans un article relatif à son activité liée à la méthamphétamine, waltcranston confirme qu’il utilise à la fois Bitcoin et Monero

Et plusieurs des messages de waltcranston indiquent une proximité avec les marketplaces cybercriminelles et un état d’esprit assez ouvert concernant le phishing et l’escroquerie, en particulier lorsqu’il s’agit d’imiter des marketplaces spécifiques :

cybercriminalite

Figure 27 : waltcranston recommande Genesis Market à un autre utilisateur

cybercriminalite

Figure 28 : waltcranston donne quelques conseils concernant les sites de phishing “sur mesure pour un marché ou une boutique spécifique”

cybercriminalite

Figure 29 : waltcranston suggère à un autre utilisateur d’utiliser un site de phishing 

cybercriminalite

Figure 30 : Une tirade plutôt ironique de waltcranston concernant les vendeurs qui deviennent des escrocs

Un utilisateur de Dread était arrivé à la même conclusion que nous, publiant publiquement cette accusation :

cybercriminalite

Figure 31 : Un utilisateur de Dread accuse waltcranston d’avoir géré certaines des marketplaces frauduleuses que nous avons découvertes

waltcranston n’a ni confirmé ni nié cette accusation dans ses réponses, bien que d’autres utilisateurs de Dread aient participé :

cybercriminalite

Figure 32 : Certains utilisateurs de Dread ont condamné les escrocs

Dans la conversation ci-dessus, l’accusateur suggère une motivation possible pour waltcranston qui gère ces sites d’escroquerie : à savoir l’arrêt du trafic de méthamphétamine.

D’autres utilisateurs de Dread étaient plus apathiques face à la situation :

cybercriminalite

Figure 33 : Deux utilisateurs de Dread moins préoccupés par les escrocs

Nous devons souligner ici que la plupart de ces preuves sont circonstancielles et que nous n’avons trouvé aucun identifiant distinct reliant waltcranston aux fausses marketplaces.

Dans le dernier article de notre série, nous montrerons pourquoi ce sujet est vraiment important. Les rapports d’escroquerie sont une source de renseignements riche et sous-explorée. Les acteurs malveillants sont conscients que les forums cybercriminels sont surveillés et utilisent donc souvent une bonne sécurité opérationnelle. Cependant, c’est moins le cas quand ils sont eux-mêmes victimes d’actes cybercriminels. Comme les règles des forums exigent des preuves pour étayer les allégations d’escroquerie, les acteurs malveillants lésés publient souvent des captures d’écran de conversations privées, de code source, d’identifiants, de transactions, de logs de discussion et du suivi détaillé de négociations, de ventes et de dépannage. Nous partagerons certaines études de cas et conclurons notre série d’articles avec quelques recommandations et idées pour de futures recherches.

Billet inspiré de The scammers who scam scammers on cybercrime forums: Part 3, sur le Blog Sophos.

Qu’en pensez-vous ? Laissez un commentaire.

Your email address will not be published. Required fields are marked *