cybercriminalite
Recherche sur les menaces

Des escrocs qui arnaquent d’autres escrocs sur les forums de cybercriminalité (1ère Partie)

Une sous-économie souterraine qui est bien plus qu'une simple curiosité : en effet, c'est un business en plein essor, et aussi une opportunité pour les défenseurs.

Dans ce premier article d’une série de quatre, nous allons passer en revue les forums impliqués et comment ces derniers gèrent les escrocs qui arnaquent d’autres escrocs.

Une arnaque se cache à chaque coin de rue sur les marketplaces cybercriminelles. En 2009, Microsoft a souligné que cette économie souterraine était victime d’une certaine forme de malhonnêteté, et en 2017, Digital Shadows a révélé une base de données de “rippers” (à savoir des fraudeurs qui escroquent des cybercriminels) créée par les utilisateurs de marketplaces. Dans notre récent article sur Genesis Market, nous avons découvert au moins une imitation frauduleuse de Genesis, conçue pour extorquer de l’argent à de potentiels cybercriminels naïfs (et peut-être aussi à des experts en sécurité et des journalistes inexpérimentés).

Mais au final, le sujet n’a pas suscité beaucoup d’intérêt. Après tout, pourquoi devrait-il attirer l’attention ? Si les escrocs ciblent les cybercriminels, tant mieux, n’est-ce pas ? Au moins, ils s’attaquent entre eux, et ne ciblent pas  des entreprises ou le grand public.

Nous avons quand même pensé que ce sujet était vraiment intéressant, alors nous avons passé quelques semaines à nous intéresser aux escrocs qui arnaquent d’autres escrocs sur trois forums de cybercriminalité de premier plan, des recherches qui, selon nous, n’ont pas été faites auparavant. Ainsi, nous avons fait cinq découvertes surprenantes.

  1. Il s’agit d’un vrai business : une sous-économie à part entière. Au cours des 12 derniers mois, les cybercriminels ont perdu plus de 2,5 millions de dollars (USD) à cause des escroqueries, rien que sur ces trois forums. En fait, il s’agit d’un problème si ancien et important que les administrateurs du forum ont créé des “salles d’arbitrage” dédiées pour que les utilisateurs signalent les escroqueries, les attaques et les rippers.
  2. L’argent n’est pas le seul motif, et ce ne sont pas seulement les acteurs malveillants de niveau inférieur qui sont impliqués. Les conflits personnels, les rivalités et le désir de détruire (ou parfois d’améliorer) les réputations peuvent tous déboucher sur des escroqueries. Et il ne s’agit pas uniquement de petits escrocs. Nous avons vu des acteurs malveillants de premier plan accusés d’escroqueries ou bien victimes d’escroqueries eux-mêmes.
  3. Les attaques vont au-delà du “rip-and-run” habituel. Nous avons vu des escroqueries par recommandation, de fausses fuites de données et de faux outils, du typosquattage, du phishing, des escroqueries par “alt rep” (à savoir l’utilisation de sockpuppets pour gonfler artificiellement les scores de réputation), de faux garants, du chantage, des comptes usurpés et des malwares avec backdoor (porte dérobée). Nous avons même trouvé des cas où les acteurs malveillants se sont vengés en arnaquant les escrocs qui les avaient arnaqués.
  4. Nous avons trouvé des exemples de fraude sur le long terme et à grande échelle. L’une des plus grandes surprises est venue lorsque nous avons inspecté plus en détail une imitation du site Genesis. Grâce à un travail d’investigation, nous avons découvert dix-neuf autres sites, tous créés par la même personne ou le même groupe, tous imitant des marketplaces cybercriminelles et tous destinés à inciter les utilisateurs à payer plus de 100 $ de “frais d’activation”. Nous ne savons pas avec certitude qui se cache derrière tous ces sites, mais nous avons découvert des liens potentiels avec un vendeur de drogue qui opère au niveau de plusieurs sites sur le dark web.

Jusqu’ici donc, schadenfreude, mais la grande question est toujours : qui s’en soucie vraiment ? Pourquoi le fait que les cybercriminels s’attaquent entre eux est vraiment intéressant ? En effet, c’est là que les choses deviennent vraiment fascinantes.

  1. Les rapports d’escroquerie sont une source de renseignements riche et sous-explorée. Les acteurs malveillants sont conscients que les forums cybercriminels sont surveillés et utilisent donc souvent une bonne sécurité opérationnelle. Cependant, c’est moins le cas quand ils sont eux-mêmes victimes d’actes cybercriminels. Comme les règles des forums exigent des preuves pour étayer les allégations d’escroquerie, les acteurs malveillants lésés sont souvent heureux de publier des captures d’écran de conversations privées et de code source, d’identifiants, de transactions, de logs de discussion et du suivi détaillé de négociations, de ventes et de dépannage.

Cette sous-économie cachée n’est pas seulement une curiosité.  Elle donne un aperçu de la culture des forums, de la manière avec laquelle les acteurs malveillants achètent et vendent, de leurs priorités tactiques et stratégiques, de leurs rivalités et alliances, de leur sensibilité à la tromperie, ainsi que des renseignements spécifiques et distincts les concernant.

Nous allons présenter, dans cette série de quatre articles, les résultats de notre enquête approfondie sur ce sujet, en commençant par une vue d’ensemble des forums concernés, de la manière avec laquelle ils traitent les escroqueries, de qui escroque qui, et de la taille de cette sous-économie.

Vous pouvez également consulter notre conférence Black Hat sur cette recherche.

Bienvenue dans la jungle

Pour lancer notre enquête, nous avons examiné les escroqueries sur deux des forums cybercriminels en langue russe les plus anciens et les plus importants, Exploit et XSS. Nous avons également inclus les escroqueries de BreachForums, le successeur de RaidForums, lancé en avril 2022.

Les forums

Exploit est relativement exclusif et constitue une marketplace pour les listings Access-as-a-Service (AaaS) , où  les IAB (Initial Access Brokers) vendent des accès aux réseaux compromis. Mais les acteurs malveillants y achètent et vendent également de nombreux autres contenus illicites : malwares, fuites de données, logs d’infostealer, identifiants, etc. Historiquement, les groupes de ransomware et les affiliés fréquentaient Exploit, bien que cela soit devenu plus secret après l’attaque de Colonial Pipeline en 2021, lorsque Exploit et XSS ont publiquement interdit les discussions concernant les ransomwares afin d’éviter d’attirer l’attention de manière négative. De nos jours, le recrutement d’affiliés à des ransomwares se poursuit sur les deux forums, bien qu’il ait tendance à se faire, à présent, sous le nom de “pentesters”.

XSS, anciennement connu sous le nom de DaMaGeLaBs, est également bien établi, bien que l’adhésion soit moins exclusive que celle d’Exploit. Il héberge également de nombreux listings AaaS et divers autres contenus.

Enfin, BreachForums est le successeur de RaidForums, une marketplace qui a fonctionné pendant sept ans avant d’être stoppée par les forces de l’ordre plus tôt en 2022. Comme RaidForums, BreachForums est un forum et une marketplace cybercriminelle en anglais spécialisée dans les fuites de données, notamment les données personnelles, les cartes de crédit, les identifiants et les documents d’identité.

Les trois sites ont des salles d’arbitrage dédiées : Exploit (avec environ 2500 escroqueries signalées) et XSS (avec environ 760) en ont depuis le milieu des années 2000, et BreachForums depuis sa création en avril 2022. D’autres marketplaces cybercriminelles, tels que Verified, en ont aussi.

En fait, Exploit dispose de deux salles, une pour les réclamations ouvertes et une autre, appelée “Black List”, qui documente les cas d’escroquerie confirmés.

cybercriminalite

Figure 1 : Section arbitrage sur Exploit

En plus d’une salle d’arbitrage dédiée, XSS maintient également une longue “liste de rippers”, un index des sites frauduleux.

cybercriminalite

Figure 2 : Liste des rippers sur XSS

Un aperçu des statistiques d’escroquerie

Nous avons examiné tous les rapports d’escroquerie citant des montants financiers au cours des 12 derniers mois (avec BreachForums, nous sommes remontés à la première arnaque enregistrée, car le forum n’existe pas depuis si longtemps).

Exploit (réclamations ouvertes) Exploit (“Black List”) XSS BreachForums
Réclamations 211 236 120 21
Montant total 1 021 998$ 863 324$ 509 901$ 143 722$
Moyenne 4 843,54$ 3 658$ 4 249,18$ 6 843,90$
Mode 1000$ 500$ 150$ 500$
Médiane 600$ 500$ 500$ 200$
Plage 15$– 160 000$ 5$– 150 000$ 10$– 160 000$ 2$– 134 000$

Tableau 1 :  Un résumé de 12 mois de rapports d’escroquerie (tous les montants sont en USD)

Bien qu’il ne s’agisse que d’un aperçu, il nous donne quelques informations utiles. Premièrement, le montant total perdu à cause des escroqueries (et rappelez-vous, cela ne concerne que les rapports d’escroquerie qui mentionnent des montants spécifiques – certains ne le font pas) est de 2 538 945 $. C’est une somme importante, en gardant à l’esprit qu’il ne s’agit que de trois forums.

Deuxièmement, Exploit est le pire concernant les escroqueries, à la fois en termes de nombre de rapports et de sommes d’argent perdues par les escrocs. Il compte environ deux fois plus de membres que XSS et peut également attirer plus d’escrocs en raison de sa réputation.

Troisièmement, le montant moyen signalé comme volé est similaire sur les trois forums, tout comme la plage, suggérant ainsi que l’ampleur des escroqueries est la même quel que soit le forum.

Les victimes ont émis des rapports d’escroquerie pour des sommes aussi faibles que 2 $. Les acteurs malveillants semblent être aussi indignés de se faire voler leur argent que n’importe qui d’autre, quel que soit le montant concerné.

Dans la partie supérieure, le montant des escroqueries sur les trois marketplaces comporte six chiffres, bien que ce soient des exceptions. De nombreuses escroqueries rapportent des montants relativement insignifiants.

cybercriminalite

Figure 3 : Faible nombre de réclamations dans la salle d’arbitrage XSS

cybercriminalite

Figure 4 : Faible nombre de réclamations dans la salle d’arbitrage BreachForums

cybercriminalite

Figure 5 : Exemple d’une réclamation suite à une escroquerie concernant un montant plus important sur Exploit (130 000 $). Notez la quantité de détails dans cette réclamation, qui comprend des informations sur les négociations et les projets concernés

Avant d’examiner le processus d’arbitrage, il est intéressant d’examiner pourquoi les escroqueries sont si répandues. En 2009, Microsoft affirmait que l’économie souterraine de la cybercriminalité n’était pas une “utopie cybercriminelle synonyme d’argent facile”, mais un “marché citron”, dans lequel la présence de rippers introduisait effectivement une taxe sur chaque transaction.

Alors que les temps ont changé et que la cybercriminalité est plus banalisée qu’elle ne l’était auparavant, les marketplaces cybercriminelles représentent toujours un terreau fertile pour les escrocs et les rippers. Aucun recours aux forces de l’ordre n’est envisageable ; il s’agit d’une culture (semi) anonyme qui met l’accent sur la vie privée ; les sites sont suffisamment exclusifs pour qu’il y ait un degré de confiance implicite minimum ; ils sont peuplés de cybercriminels, qui sont sans doute peu susceptibles de se considérer comme des victimes potentielles et se méfient donc moins des escroqueries ; c’est un marché ouvert sans réglementation ni assurance qualité ; les transactions sont effectuées avec des crypto-monnaies, qui peuvent être rendues effectivement intraçables ; et les mesures de protection telles que les garants sont facultatives (et, comme nous le verrons dans un prochain article de notre série, elles peuvent elles-mêmes être corrompues pour servir d’autres escroqueries).

Que font les marketplaces cybercriminelles contre les escroqueries ?

Les administrateurs de forums cybercriminels sont bien conscients que les escroqueries sont un problème. En plus des salles d’arbitrage, la plupart des marketplaces affichent des avertissements concernant de potentiels escrocs et préconisent l’utilisation de garants (parfois appelés “intermédiaires”) pendant les ventes, une forme de séquestre (escrow).

cybercriminalite

Figure 6 : Un avertissement sur les escroqueries au niveau de la première page de BreachForums

D’autres forums vont plus loin. Verified, par exemple, avertit explicitement les utilisateurs concernant de faux liens vers son forum et préconise l’utilisation d’un plugin personnalisé pour détecter de telles arnaques :

cybercriminalite

Figure 7 : Avertissement concernant les escroqueries sur Verified

Dans le même esprit, BreachForums publie une liste de tous ses domaines légitimes, ainsi qu’un “rapport de transparence” mensuel, pour confirmer que le site et l’infrastructure associée restent sous son contrôle et n’ont pas été compromis (bien qu’il s’agisse probablement aussi d’une mesure de précaution à cause des évènements ayant eu lieu sur RaidForums) :

cybercriminalite

Figure 8 : Détails sur le rapport mensuel de transparence émis par BreachForums

Les salles d’arbitrage sont la principale méthode pour faire face aux escroqueries. Le processus est relativement simple. Les utilisateurs qui souhaitent signaler une arnaque doivent créer un nouveau fil de discussion, désigner l’utilisateur qui les a soi-disant escroqués et fournir autant de détails que possible sur l’incident. BreachForums fournit un modèle pour mener à bien ce signalement, tandis que XSS répertorie simplement les détails nécessaires.

cybercriminalite

Figure 9 : Le modèle de rapport d’escroquerie de BreachForums

cybercriminalite

Figure 10 : Les données requises dans les rapports d’escroquerie XSS : pseudo, lien vers le profil, coordonnées, preuves (logs de chat, captures d’écran, portefeuilles, transferts), ainsi que toute information supplémentaire

Un modérateur examine ensuite le rapport, demande plus d’informations si nécessaire et tague l’accusé en lui donnant un délai pour répondre (généralement 24h, mais il peut être compris entre 12 et 72h).

cybercriminalite

Figure 11 : Un modérateur d’Exploit donne à un escroc accusé 24h pour répondre à une allégation

L’accusé peut accepter la demande, auquel cas il restitue ce qui a été volé à la victime. C’est rare. Plus communément, l’accusé conteste la réclamation (auquel cas le modérateur arbitre) ou ne répond pas du tout (auquel cas il peut être temporairement ou définitivement banni du forum).

cybercriminalite

Figure 12 : Une réclamation contestée sur XSS concernant les listings AaaS

Dans les réclamations contestées, le modérateur peut donner raison à l’une des deux parties, ou décider qu’il n’y a pas de réponse à faire en raison d’un manque de preuves. Dans certains cas, une ou les deux parties recevront des avertissements ou des bannissements temporaires ou permanents.

cybercriminalite

Figure 13 : L’administrateur de BreachForums ferme un rapport d’escroquerie en raison d’un manque de preuves

cybercriminalite

Figure 14 : Une réclamation contestée sur Exploit, concernant un ‘crypteur’ à utiliser avec Remcos

Ces discussions sont parfois courtoises et réglées à l’amiable afin de satisfaire les deux parties. Nous avons noté un exemple où l’arbitre a décidé que l’accusé devait rembourser 50 % du montant réclamé :

cybercriminalite

Figure 15 : Un modérateur d’Exploit donne à l’accusé 24h pour rembourser 50% du montant réclamé

Dans un cas, l’administrateur de BreachForums a même indemnisé une victime d’escroquerie en payant de sa poche :

cybercriminalite

Figure 16 : L’administrateur de BreachForums indemnise personnellement une victime d’escroquerie à hauteur de 200 $

Mais les rapports d’escroquerie débouchent souvent sur des insultes et des contre-accusations. Dans certains cas, les victimes présumées ont elles-mêmes été bannies à cause d’escroqueries qu’elles auraient aussi commises.

cybercriminalite

Figure 17 : Un rapport d’escroquerie sur Exploit qui débouche sur un accusateur qui accuse à son tour l’accusateur d’escroquerie

Conséquences

Les bannissements (et dans une moindre mesure, les avertissements) semblent être le résultat le plus courant des arbitrages, mais BreachForums adopte une approche légèrement différente. Peut-être pour dissuader les futurs escrocs, ses modérateurs publient l’adresse email d’inscription ainsi que les dernières adresses d’enregistrement et IP connues des utilisateurs bannis, les doxant ainsi partiellement :

cybercriminalite

Figure 18 : Un exemple d’utilisateur banni, avec la publication de l’adresse email d’inscription ainsi que des dernières adresses d’enregistrement et IP connues

Nous avons remarqué quelques cas impliquant des escrocs en série qui, après avoir été bannis, ont simplement créé un nouveau profil avec une nouvelle identité, payé de nouveaux frais d’inscription et ont ainsi pu commettre de nouvelles escroqueries.

Pas seulement des petits escrocs

Nous avons remarqué quelques exemples où des acteurs malveillants plus importants étaient impliqués. Par exemple, voici un cas curieux qui n’était pas véritablement une arnaque, mais impliquait un utilisateur qui voulait négocier avec le groupe de ransomware Conti au nom d’une victime :

cybercriminalite

Figure 19 : Un utilisateur ouvre une demande d’arbitrage pour tenter de négocier avec le groupe Conti à propos du déchiffrement des actifs d’une entreprise

Ce rapport a été fermé par les modérateurs d’Exploit parce qu’il concernait un ransomware, qui est apparemment interdit sur ce forum. Mais ce qui est intéressant, c’est que le plaignant semble être un acteur malveillant à part entière et qu’il était membre du forum Exploit depuis trois ans avant de soumettre la réclamation ci-dessus, avec plusieurs messages exprimant un intérêt pour l’achat de données. Sa relation avec la victime de Conti dans cette affaire n’est pas claire.

cybercriminalite

Figure 20 : Certains des précédents messages du plaignant sur le forum Exploit

Un autre cas concernait “Alan Wake” (un nom tiré d’un jeu vidéo), qui a parrainé le dernier concours sur XSS, et a déjà été accusé par un opérateur de Lockbit d’être le chef des groupes de ransomware Conti et BlackBasta. Un utilisateur a accusé Alan Wake de ne pas avoir payé son salaire pour avoir “généré du trafic grâce à des shells” :

cybercriminalite

Figure 21 : Le rapport d’escroquerie XSS concernant “Alan Wake”

Alan Wake a contesté l’allégation, et l’affaire a été classée par l’administrateur et le plaignant banni, non pas pour escroquerie, mais pour “insultes, agressions, menaces, etc.” et “comportement extrêmement inapproprié”.

Enfin, All World Cards (également un ancien sponsor des concours XSS), un groupe de carding de premier plan, a lui-même été victime d’une escroquerie impliquant une fausse vulnérabilité, et perdant ainsi 2 000 dollars (USD).

cybercriminalite

Figure 22 : Le groupe All World Cards signale une escroquerie dans laquelle il a perdu 2000 $

Ce qu’il faut retenir de cet article, c’est qu’aucun utilisateur n’est à l’abri ; tout échange sur des forums cybercriminels comporte un risque inhérent d’escroquerie. Bien qu’il existe à la fois des mesures proactives (avertissements, plugins, garants) et réactives (salles d’arbitrage), les escrocs sont non seulement courants, mais, à en juger par les données que nous avons recueillies, ils sont aussi souvent efficaces. L’une des raisons de leur succès est la grande diversité des escroqueries utilisées.

Dans la deuxième partie de notre enquête, nous aborderons les différents types d’arnaque que nous avons observés.

Billet inspiré de The scammers who scam scammers on cybercrime forums: Part 1, sur le Blog Sophos.