Dans ce troisième article de notre série qui en compte quatre, nous allons nous pencher sur le curieux cas de ces vingt fausses marketplaces.
Dans le premier article de cette série, nous avons présenté cette sous-économie souterraine où ‘des escrocs arnaquent d’autres escrocs’, et dans le second, nous avons passé en revue les différents types d’escroquerie rencontrés sur les forums cybercriminels.
Ce troisième article est un peu différent. Il traite d’une escroquerie particulière que nous avons découverte au cours de nos recherches, et que nous souhaitons vous présenter en raison de son ampleur, de ses différents niveaux de coordination et de son succès apparent.
L’étrange cas de ces vingt fausses marketplaces
Au cours de nos recherches sur Genesis Market, nous avons trouvé un site clearnet (genesismarket[.]org) qui ne ressemblait en rien au véritable site Genesis Market, mais qui figurait en bonne place dans les résultats des moteurs de recherche.
Figure 1 : Le faux site Genesis Market
Nous avons rapidement compris que le site ne semblait pas être connecté au véritable site Genesis Market. D’une part, le site exige un dépôt de 100 dollars (USD), alors que le vrai site Genesis ne fonctionne que sur invitation.
Figure 2 : La demande de dépôt sur le faux site Genesis
Le site demande aux utilisateurs de payer en Bitcoin ou Monero :
Figure 3 : La page de dépôt du faux site
Ces premiers indices, et quelques autres éléments (tels que le bouton “lost password“, à savoir ‘mot de passe perdu‘) ne menant nulle part, et certains “messages du forum” falsifiés) nous ont amenés à supposer qu’il s’agissait d’une arnaque grossière, simple à mettre en œuvre et étant certainement à usage unique, conçue pour duper des experts inexpérimentés, des acteurs malveillants potentiels et des personnes curieuses, en général.
Figure 4 : Certains des faux messages du forum ne demandant pas beaucoup d’effort
Mais trois éléments ont tout de même retenu notre attention.
Le premier était que le lien onion sur la page d’accueil ne renvoyait pas du tout vers un site onion, mais vers genesismarket[.]org/benumbiernqlud55izbw4mdubush4zhzpg4rw3c2j6ew3ggpzbb7gdqd[.]onion. Benumb est un site de carding, et nous nous sommes demandé si un individu de cette marketplace n’était pas à l’origine de cette arnaque et n’avait pas fait une erreur au niveau du lien.
Le deuxième était que le bouton ‘Copy address’ (Copier l’adresse) sur la page de dépôt déclenchait du JavaScript, qui copiait une adresse Bitcoin différente dans le presse-papiers :
Figure 5 : Cliquer sur le bouton “Copy address” déclenche la copie d’une adresse différente dans le presse-papiers
Et le troisième était qu’un individu avait activement fait la promotion de ce site sur Reddit, suggérant ainsi que l’arnaque était certainement bien plus coordonnée que nous ne le pensions au départ :
Figure 6 : Un message Reddit maintenant supprimé faisant la promotion du faux site
Nous avons visité le lien “Benumb” et avons trouvé un site configuré exactement de la même manière, avec la même demande de 100 $ (bien qu’associé à des adresses Bitcoin et Monero différentes) :
Figure 7 : La fausse page Benumb, avec un alerte de phishing légèrement ironique
Figure 8 : La fausse page du portefeuille de Benumb
Et lorsque nous avons regardé les numéros de carte de crédit sur la page d’accueil, nous avons découvert qu’ils étaient identiques à ceux répertoriés sur le faux site Genesis.
Figure 9 : Les numéros de carte de crédit et les détails présents sur la fausse page d’accueil de Benumb…
Figure 10 : … qui sont exactement les mêmes que ceux présents sur le faux site Genesis
Nous avons commencé à interroger les moteurs de recherche concernant des parties du texte, les détails de la carte de crédit et les adresses de crypto-monnaie, pour trouver d’autres sites créés par le même escroc.
Au total, nous avons trouvé vingt sites, enregistrés entre août 2021 et juin 2022, qui, selon nous, sont exploités par le même individu ou groupe. Pratiquement tous imitent des marketplaces cybercriminelles existantes ou disparues (notamment plusieurs versions frauduleuses de Genesis, Benumb, UniCC et Pois0n), et demandent un dépôt de 100 $ pour l’activation et ont des designs similaires. Certains utilisent la même bizarrerie concernant la substitution au niveau du presse-papiers, et d’autres non. Nous avons également observé quelques autres différences mineures, comme la couleur de l’arrière plan ou de légères modifications au niveau du texte.
Figure 11 : Une version frauduleuse de YaleLodge, une marketplace cybercriminelle
Figure 12 : Une version frauduleuse d’une autre marketplace, WWH Club
Figure 13 : Une version frauduleuse du Brian’s Club, encore une autre marketplace cybercriminelle
Figure 14 : Une version frauduleuse du site de carding UniCC (le site authentique a fermé en janvier 2022). Notez que ce site contient également un lien vers le faux site Benumb
Figure 15 : Une version frauduleuse de Pois0n, une autre marketplace cybercriminelle
En cours de route, nous avons trouvé des preuves que l’escroc faisait la promotion d’autres sites sur Reddit :
Figure 16 : Un post Reddit faisant la promotion d’un des faux sites Benumb
Nous avons trouvé une anomalie, un site appelé ‘Cashout Guide’, qui prétend enseigner aux utilisateurs le carding et la fraude (moyennant des frais, bien entendu), qui a néanmoins une apparence similaire aux marketplaces frauduleuses :
Figure 17 : Les différents niveaux disponibles sur le site Cashout Guide
Sur les vingt sites que nous avons trouvés, treize ne sont plus actifs. La plupart sont des sites clearnet, bien que nous ayons découvert trois sites onion (et un site clearnet se faisant passer pour un site onion).
Voici une liste complète, ainsi que les adresses Bitcoin associées et les informations d’enregistrement (le cas échéant) :
| Site | Inscription WHOIS | Registrar | BTC |
| genesismarket.org | 09/06/2021 | Tucows | 1QF54J6rXoo53ig93XgqX7rXtWSC2zemnS 18EFRk7XtHLPXnGDkz2Z9g2Juk5pppaWgH |
| wwh.club | 05/09/2022 | Porkbun | 15NGE3k3RsCw4dFRVXYjpW2xsNyT96hNuE |
| brians.cards | 02/22/2022 | Tucows | 1Q5AKMFfhV2jTu1Jjpm1pMP7qabApe9Xr |
| uniccards.com | 02/09/2022 | Namecheap | 1Q5AKMFfhV2jTu1Jjpm1pMP7qabApe9Xr |
| benumb.cards | 08/28/2021 | Tucows | 1QF54J6rXoo53ig93XgqX7rXtWSC2zemnS |
| yalelodge.cards | 02/09/2022 | Tucows | 1QF54J6rXoo53ig93XgqX7rXtWSC2zemnS |
| unic.cards | 02/09/2022 | Tucows | 1KjZcgsTh9SZJiLDHBYQem96Z4CwbgQPL2 |
| pois0n.cards | 04/22/2022 | Tucows | 14KRaiCZp2zYPyRqVd3AHbyjT6qPcSnMKn |
| pois0n.shop | 04/22/2022 | Namecheap | N/K |
| genesismarket.app | 04/27/2022 | Tucows | 18EFRk7XtHLPXnGDkz2Z9g2Juk5pppaWgH |
| benumb.shop | N/K | Namecheap | N/K |
| benumb-cc.shop | 04/27/2022 | Namecheap | N/K |
| bydto.com | 04/08/2022 | Tucows | N/K |
| cashouts.guide | 03/10/2022 | Hosting Concepts B.V. | 14ZFe4BH5FdfvdyndxfK4rwJtf3oPHjTgS |
| bennumb.cards | 02/17/2022 | N/A | bc1qn2gfx8x9t234s8ncs80k3mrf5359g34xkxj0j8 |
| benumbiernqlud55izbw4mdubush4zhzpg4rw3c2j6ew3ggpzbb7gdqd.onion | N/A | N/A | 15NGE3k3RsCw4dFRVXYjpW2xsNyT96hNuE |
| shops4knpoaodqdvs3tgzctkwk2cot6nggtyfpfxjuno23brpzpaquyd.onion | N/A | N/A | 1FWrm3Z1g2W4kEQXgsUyHXEk2S9dTVK54P |
| j4j245araf5zxzd6z342a7cmakooyx3g7rt4oluffu6zimjshtbkpsid.onion | N/A | N/A | N/K |
| benumbie55bw4mdubszhzpg4rw3c2j6ew3gpzbb7gdqd.online | 06/23/2022 | Gransy s.r.o. | bc1q2jw57fy5cf5rrdcdjcdwz34nln5xmycpunzay8 |
| rainblack.com | 06/07/2022 | Porkbun | N/K |
Tableau 1 : Les sites que nous avons découverts
Lorsque nous avons rassemblé les informations de toutes les adresses Bitcoin (de par leur conception, les soldes des adresses Monero étaient masquées), nous avons constaté que ce réseau frauduleux était lucratif. Ensemble, ces adresses ont reçu plus de 132 000 $, et la majeure partie a été retirée, laissant un solde total de seulement 1 633,34 $.
Nous ne pouvons pas dire avec certitude si toutes les entrées de ces adresses sont liées à l’arnaque (c’est-à-dire que nous ne savons pas si l’escroc les a utilisées pour mener d’autres activités), et dans certains cas, les dates n’aident pas vraiment (en effet, certaines adresses ont effectué leur première transaction avant que le ou les sites associés ne soient enregistrés, de sorte que certaines entrées peuvent n’avoir aucun rapport avec l’arnaque en question). Mais même sans ces exemples, il y avait encore 87 676 $ dans ces portefeuilles.
Une grande question reste en suspens : qui était derrière cette arnaque ?
Nous avons découvert une information que nous pensions être un indice : sur certains sites, le pied de page contient un lien vers un site Web appelé darknet[.]markets (il semble y avoir quelques versions de ce site avec un contenu très similaire, notamment darknetmarket[.]org et darknetmarket[.]org).
Figure 18 : Un lien vers darknet[.]markets sur le site frauduleux unic[.]cards
Ces sites sont des index de marketplaces cybercriminelles sur le dark web, destinés aux visiteurs intéressés par la vente de drogues, le carding et les échanges de crypto-monnaie. Non seulement ils ressemblent aux marketplaces frauduleuses (et avec des détails d’hébergement / d’enregistrement similaires), mais ils répertorient également plusieurs des fausses marketplaces que nous avons découvertes.
Figure 19 : La section “carding” sur dark[.]markets
La plupart des notifications d’activation sur les marketplaces frauduleuses mentionnent un forum de carding sur la marketplace cybercriminelle Dread (également connue sous le nom de Café Dread). Nous avons recherché les noms des sites d’index sur Dread et avons trouvé un message provenant d’un utilisateur appelé waltcranston (le nom d’utilisateur est probablement inspiré de la série télévisée Breaking Bad), qui prétendait les avoir créés :
Figure 20 : Message de waltcranston (maintenant supprimé)
Nous avons également trouvé au moins un utilisateur de Dread qui semblait avoir été piégé par l’une de ces arnaques :
Figure 21 : Message d’un utilisateur de Dread
Nous sommes allés plus dans le détail des sites d’index et avons trouvé waltcranston en bonne place dans la section “Drug Markets”:
Figure 22 : Lien onion de waltcranston sur un des sites d’index
waltcranston est un revendeur de méthamphétamine autoproclamé sur Dread et d’autres marketplaces telles que Alphabay. De son propre aveu, il est basé aux États-Unis :
Figure 23 : waltcranston prétend être basé aux États-Unis
Son site Web semble utiliser un modèle similaire aux marketplaces frauduleuses, et la version clearnet a des détails concernant l’hébergement et l’enregistrement similaires :
Figure 24 : Site de vente de waltcranston
Nous avons également découvert que l’un des faux messages du forum sur au moins l’une des marketplaces frauduleuses a été écrit par waltcranston :
Figure 25 : Un message du forum sur l’une des fausses marketplaces de Benumb
waltcranston utilise à la fois Bitcoin et Monero, comme indiqué dans cet article :
Figure 26 : Dans un article relatif à son activité liée à la méthamphétamine, waltcranston confirme qu’il utilise à la fois Bitcoin et Monero
Et plusieurs des messages de waltcranston indiquent une proximité avec les marketplaces cybercriminelles et un état d’esprit assez ouvert concernant le phishing et l’escroquerie, en particulier lorsqu’il s’agit d’imiter des marketplaces spécifiques :
Figure 27 : waltcranston recommande Genesis Market à un autre utilisateur
Figure 28 : waltcranston donne quelques conseils concernant les sites de phishing “sur mesure pour un marché ou une boutique spécifique”
Figure 29 : waltcranston suggère à un autre utilisateur d’utiliser un site de phishing
Figure 30 : Une tirade plutôt ironique de waltcranston concernant les vendeurs qui deviennent des escrocs
Un utilisateur de Dread était arrivé à la même conclusion que nous, publiant publiquement cette accusation :
Figure 31 : Un utilisateur de Dread accuse waltcranston d’avoir géré certaines des marketplaces frauduleuses que nous avons découvertes
waltcranston n’a ni confirmé ni nié cette accusation dans ses réponses, bien que d’autres utilisateurs de Dread aient participé :
Figure 32 : Certains utilisateurs de Dread ont condamné les escrocs
Dans la conversation ci-dessus, l’accusateur suggère une motivation possible pour waltcranston qui gère ces sites d’escroquerie : à savoir l’arrêt du trafic de méthamphétamine.
D’autres utilisateurs de Dread étaient plus apathiques face à la situation :
Figure 33 : Deux utilisateurs de Dread moins préoccupés par les escrocs
Nous devons souligner ici que la plupart de ces preuves sont circonstancielles et que nous n’avons trouvé aucun identifiant distinct reliant waltcranston aux fausses marketplaces.
Dans le dernier article de notre série, nous montrerons pourquoi ce sujet est vraiment important. Les rapports d’escroquerie sont une source de renseignements riche et sous-explorée. Les acteurs malveillants sont conscients que les forums cybercriminels sont surveillés et utilisent donc souvent une bonne sécurité opérationnelle. Cependant, c’est moins le cas quand ils sont eux-mêmes victimes d’actes cybercriminels. Comme les règles des forums exigent des preuves pour étayer les allégations d’escroquerie, les acteurs malveillants lésés publient souvent des captures d’écran de conversations privées, de code source, d’identifiants, de transactions, de logs de discussion et du suivi détaillé de négociations, de ventes et de dépannage. Nous partagerons certaines études de cas et conclurons notre série d’articles avec quelques recommandations et idées pour de futures recherches.
Billet inspiré de The scammers who scam scammers on cybercrime forums: Part 3, sur le Blog Sophos.
