Les chercheurs en sécurité de Digital Shadows ont découvert une fraude à l’entiercement sur le forum Altenen. Un administrateur et un modérateur sont impliqués.

La société de renseignement sur les menaces Digital Shadows suit actuellement la piste de la fraude à l’entiercement. Son équipe de recherche sur les photons a découvert comment deux employés du Carding, Hacking and Cracking Forum Altenen ont utilisé leur poste à des fins personnelles aux dépens des utilisateurs du forum. L’un des participants est administrateur et l’autre modérateur. Dans son article de blog intitulé « Il n’y a pas d’honneur parmi les voleurs… »Digital Shadows informé de l’incident.

Selon Digital Shadows, Altenen est :

« un forum de langue anglaise pour les cybercriminels. On pense qu’il a été fondé en 2013, il a changé de nom au fil des ans et était auparavant un forum de langue arabe. De nos jours, il s’agit principalement de « gagner de l’argent sur Internet » au moyen de « différentes opportunités de gain » (par exemple, le carding). Des signalements d’utilisateurs frauduleux d’Altenen circulent depuis 2015. »

Comme de nombreux sites similaires, Altenen traite les paiements via un système de séquestre, les administrateurs du site gérant le compte séquestre.

Un utilisateur de Twitter a signalé une fraude à l’entiercement

Un utilisateur de Twitter a fourni la première indication de l’escroquerie d’entiercement en juin 2022. Cela a conduit l’équipe de recherche Photon à un fil de discussion de script intersite (XSS) où des données d’utilisateur piratées pouvaient être trouvées. Comme on pouvait s’y attendre, la plupart des données trouvées consistaient en des noms d’utilisateur, des adresses e-mail et des données d’enregistrement. Les balises de statut des utilisateurs et le nombre de messages directs ont également été trouvés. Cependant, un dossier contenait également des preuves de fraude à l’entiercement. Digital Shadows a trouvé des fuites de messages directs entre lesdits employés d’Altenen et plusieurs utilisateurs du forum. Les conversations ont eu lieu entre fin 2019 et mi-2021.

Dès que les paiements sont arrivés, il y a eu un silence radio

En l’espèce, un client a acheté un ordinateur portable à un autre utilisateur d’Altenen. Après avoir payé 600 $, il a envoyé un message au modérateur demandant un accusé de réception de l’argent. Au lieu de cela, cependant, il a fallu des «frais de dépôt» supplémentaires de 120 $. Après avoir négocié le montant jusqu’à 80 $ avec le modérateur, l’utilisateur a payé le montant supplémentaire. Cependant, lorsque l’achat a échoué et que l’utilisateur a récupéré les frais d’entiercement, le modérateur a finalement arrêté toute communication.

D’autres conversations avec un schéma similaire ont suivi, « où le modérateur ou l’administrateur a ignoré un utilisateur ou a cessé de lui répondre une fois le paiement reçu ». Dans d’autres cas, les transferts Western Union (WU) ont également été acceptés à la place des transferts en bitcoins. Selon Digital Shadows, l’administrateur a même admis lors d’une conversation avec un utilisateur que le modérateur l’avait trompé et que tout l’incident était une arnaque.

Dans un autre incident, un utilisateur recherchant le statut de « vendeur vérifié » pour vendre des logiciels malveillants de grattage de RAM de point de vente (POS) sur le site s’est vu demander de payer 500 $ pour que le privilège compte. Selon Digital Shadows, l’administrateur a suggéré à l’utilisateur de retourner ses compétences en développement de logiciels malveillants contre les propres utilisateurs de la plate-forme. Il peut développer un voleur de bitcoins et l’utiliser sur le forum car il y a beaucoup d’utilisateurs avec de grandes quantités de bitcoins ici.

Tous les membres du forum ne sont pas victimes de fraude

Digital Shadows souligne que tous les utilisateurs qui ont contacté des escrocs ne sont pas devenus des cibles d’escroquerie. Dans certains cas, l’utilisateur a été informé qu’il s’agissait d’une arnaque et pourquoi il n’était pas ciblé en fonction de certains critères. En conséquence, les musulmans sont tombés hors de la grille et aussi les membres du forum « de première classe ». Comme le souligne Digital Shadows, les critères de sélection reflètent « Reflète le comportement sur les forums en langue russe où les entreprises de la région de la CEI ne sont pas attaquées. »

Digital Shadows a rencontré une contradiction apparente dans ses conclusions. D’un côté, la cybercriminalité clandestine fait tout ce qu’elle peut pour « Pour instaurer la confiance entre acheteurs et vendeurs. La plupart des sites Web utilisent des systèmes de notation similaires à ceux utilisés par Amazon ou eBay. Avec ça ils veulent améliorer la transparence et l’expérience utilisateur ». D’un autre côté, cela semble contredire les preuves découvertes par Digital Shadows. Selon Digital Shadows, une explication possible à cela pourrait être :

« Si une escroquerie à l’entiercement est perpétrée par le personnel du forum, les escrocs sont libres d’arnaquer autant d’utilisateurs qu’ils le souhaitent. Une fois que le forum est en mesure d’attirer un afflux constant de membres naïfs, il peut rester en ligne, peu importe à quel point sa réputation est endommagée par la révélation de l’escroquerie. […] En tant que forum de cardage sur le Web de surface, Altenen attire le type d’acteurs de la menace qui sont susceptibles d’être naïfs à l’OPSEC. Le personnel semble en profiter.