IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les propriétaires d'un service de vol de codes d'accès à usage unique plaident coupable


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Bruno
    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Mai 2019
    Messages
    1 942
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Mai 2019
    Messages : 1 942
    Points : 37 768
    Points
    37 768
    Par défaut Les propriétaires d'un service de vol de codes d'accès à usage unique plaident coupable
    Les propriétaires d'un service de vol de codes d'accès à usage unique plaident coupable,
    OTP Agency a aidé des cybercriminels à frauder plus de 12 500 comptes en ligne

    Trois Cybercriminels du Royaume-Uni ont plaidé coupable d'avoir exploité OTP Agency, un service en ligne illégal qui permettait aux criminels d'intercepter les codes d'accès à usage unique (OTP) utilisés pour sécuriser les connexions à divers sites web. Ce service, actif entre novembre 2019 et février 2021, a aidé des cybercriminels à accéder frauduleusement à plus de 12 500 comptes en ligne. Malgré des tentatives de suppression des preuves et de relancer le service, les trois responsables ont été arrêtés par la National Crime Agency (NCA) et risquent des poursuites judiciaires.

    Lancé en novembre 2019, OTP Agency permettait aux cybercriminels d'intercepter ces codes en se faisant passer pour des institutions financières et en appelant les victimes pour les alerter d'une activité suspecte sur leurs comptes. Les victimes étaient invitées à entrer leur OTP, lequel était ensuite transmis aux cybercriminels via le site de l'agence.

    Le 30 août, la National Crime Agency (NCA) du Royaume-Uni a révélé que Callum Picari, 22 ans, Vijayasidhurshan Vijayanathan, 21 ans, et Aza Siddeeque, 19 ans, avaient plaidé coupable d'avoir exploité ce service. Malgré les affirmations des propriétaires d'OTP Agency selon lesquelles leur service était légitime, des messages sur leur canal Telegram ont révélé que l'objectif principal était de faciliter l'accès illégal à des comptes en ligne.

    Nom : Merci.PNG
Affichages : 16993
Taille : 680,4 Ko

    Les criminels devaient payer un abonnement mensuel pour manipuler les titulaires de comptes bancaires et les amener à divulguer des codes d’accès à usage unique ou d’autres informations personnelles sensibles. Une formule de base, facturée 34 euros par semaine, permettait de contourner l'authentification multifactorielle sur des plateformes telles que HSBC, Monzo et Lloyds, offrant ainsi aux criminels la possibilité de réaliser des transactions frauduleuses en ligne.

    Un plan d’élite, coûtant 435 euros par semaine, offrait l'accès à des sites de vérification Visa et Mastercard, permettant ainsi aux criminels d’accéder à des comptes bancaires personnels et de voler de l’argent. Les enquêteurs en cybersécurité de la National Crime Agency (NCA) ont commencé à surveiller le site en juin 2020 et estiment que plus de 12 500 personnes ont été ciblées entre septembre 2019 et mars 2021, date à laquelle le site a été mis hors ligne après l'arrestation des trois individus.

    Bien qu'il soit difficile de déterminer le montant exact des gains générés par cette entreprise criminelle, les estimations suggèrent qu'il pourrait atteindre environ 35 000 euros si les utilisateurs avaient opté pour le plan de base, et jusqu'à 9,1 millions d’euros s'ils avaient choisi l'offre élite. Callum Picari, en tant que propriétaire, développeur, et principal bénéficiaire du service, a promu OTP Agency sur un groupe Telegram comptant plus de 2 200 membres. En octobre 2019, il a publié un message déclarant : « Premier et dernier service professionnel pour vos besoins en vol d'OTP. Nous vous garantissons des bénéfices dans les minutes suivant l'achat de notre service... ».

    Il a également ajouté : « Vous avez toujours voulu obtenir un code d'accès à usage unique pour n'importe quel site web ? Eh bien, c'est désormais possible ! Avec OTPAgency, vous pouvez obtenir un OTP pour vbv, plus de 30 sites, ainsi qu'Apple Pay... et cela pour seulement 34 euros par semaine. Vous ne voulez vraiment pas manquer ça. »

    Le groupe Telegram a été supprimé en février 2021 et effacé des données, mais a continué d'opérer sur un nouveau canal Telegram avant d'être définitivement mis hors ligne après l'arrestation des trois hommes. Au cours de ses 18 mois d'activité, OTP Agency a permis à ses utilisateurs de cibler plus de 12 500 personnes. Malgré la fermeture d'OTP Agency, d'autres services similaires continuent de fonctionner, notamment SMSRanger, qui sera abordé dans un prochain article. La NCA conseille de toujours vérifier les appels ou messages suspects en contactant directement son institution financière via des canaux sûrs.

    Les enjeux de sécurité et la nécessité de renforcer la vigilance

    Cette affaire soulève d'importantes questions sur l'efficacité des systèmes d'authentification à deux facteurs (2FA). Bien que le 2FA soit largement reconnu comme un moyen de protection essentiel pour les comptes en ligne, l'exploitation d'OTP Agency démontre que même cette couche de sécurité peut être compromise par des méthodes d'ingénierie sociale sophistiquées. Les cybercriminels derrière OTP Agency ont réussi à tromper leurs victimes en se faisant passer pour des institutions financières crédibles, les incitant ainsi à fournir volontairement leurs OTP, qui étaient ensuite interceptés via le site de l'agence.

    Ce qui est particulièrement inquiétant, c'est la manière dont ce service a pu opérer pendant plus d'un an, facilitant ainsi l'accès frauduleux à un grand nombre de comptes en ligne. Le succès de cette entreprise criminelle souligne non seulement les vulnérabilités technologiques, mais aussi un manque crucial de sensibilisation des utilisateurs face aux dangers du cyberespace. L'ampleur de l'utilisation d'OTP Agency reflète une demande alarmante pour ce type de services illégaux, ce qui met en exergue la nécessité de renforcer à la fois les technologies de sécurité et l'éducation du public concernant les menaces numériques.

    Le recours à l'ingénierie sociale pour obtenir ces informations sensibles souligne également l'importance pour les utilisateurs d'adopter des pratiques de vigilance renforcées. Il est essentiel que les individus apprennent à reconnaître les tentatives d'escroquerie et qu'ils sachent comment vérifier l'authenticité des communications qu'ils reçoivent, surtout lorsqu'il s'agit de données aussi critiques que les OTP.


    En dépit de la fermeture d'OTP Agency et de l'arrestation de ses créateurs, la persistance d'autres services similaires, comme SMSRanger, montre que le problème reste omniprésent. Les efforts des autorités et des entreprises doivent s'intensifier pour identifier rapidement ces menaces et les neutraliser. Cela nécessite une collaboration constante et des stratégies de sécurité évolutives pour contrer ces menaces émergentes.

    Cette affaire illustre non seulement les défis actuels en matière de cybersécurité, mais aussi l'importance d'une sensibilisation accrue du public pour se prémunir contre des menaces de plus en plus sophistiquées. Renforcer les systèmes de sécurité tout en éduquant les utilisateurs sur les bonnes pratiques en ligne est devenu une nécessité urgente dans un monde où les risques numériques ne cessent de croître.

    Sources : Krebs on Security, National Crime Agency

    Et vous ?

    Comment OTP Agency a-t-il pu opérer pendant plus d'un an sans être détecté par les autorités ou les institutions financières ?

    Quelles leçons peuvent être tirées pour prévenir l'émergence de services similaires à l'avenir ?

    Voir aussi :

    La ville de Columbus poursuit un chercheur en sécurité après sa révélation sur la gravité d'une attaque par rançongiciel, contredisant les affirmations des autorités municipales

    Arrestation du PDG de Telegram Pavel Durov : les 12 lourds chefs d'accusation de l'information judiciaire diligentée par le parquet de Paris

    La France subit des attaques par déni de service distribué (DDoS) à répétition depuis l'arrestation sur son sol du fondateur de Telegram, dont des hacktivistes réclament la libération
    Contribuez au club : corrections, suggestions, critiques, ... Contactez le service news et Rédigez des actualités

  2. #2
    Membre émérite
    Homme Profil pro
    Chargé de projets
    Inscrit en
    Décembre 2019
    Messages
    702
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 34
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Chargé de projets
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Décembre 2019
    Messages : 702
    Points : 2 599
    Points
    2 599
    Par défaut
    C'est quand même assez extraordinaire de se faire vendre du progrès technologique pour que 3 gamins de 22, 21 et 19 ans puissent déjouer des sécurités que des ingénieurs et des compagnies vendent des millions de $.

    J'ai une solution simple qui s'appelle le hors ligne. Comme avant. Comme ça pour braquer quelqu'un faut prendre un pistolet. Les adolescents réfléchirons au truc à deux fois, en tout cas ceux qui sont malins, car il faut avoir quelque neurones pour faire un système comme ça !

    L'extrait d'un chat entre deux des compères dans l'article source est hilarant :

    Picari said: bro we are in big trouble… U will get me bagged… Bro delete the chat

    Vijayanathan: Are you sure

    Picari: So much evidence in there

    Vijayanathan: Are you 100% sure

    Picari: It’s so incriminating…Take a look and search ‘fraud’…Just think of all the evidence…that we cba to find…in the OTP chat…they will find

    Vijayanathan: Exactly so if we just shut EVERYTHING down

    Picari: They went to our first ever msg…We look incriminating…if we shut down…I say delete the chat…Our chat is Fraud 100%

    Vijayanathan : Everyone with a brain will tell you stop it here and move on

    Picari: Just because we close it doesn’t mean we didn’t do it…But deleting our chat…Will f*^k their investigations…There’s nothing fraudulent on the site

Discussions similaires

  1. Réponses: 2
    Dernier message: 27/04/2009, 10h56
  2. communiquer avec les objets d'un service
    Par rangdalf dans le forum Windows Communication Foundation
    Réponses: 8
    Dernier message: 19/01/2009, 13h58
  3. les spécification des Web Services?
    Par DebutantWS dans le forum Services Web
    Réponses: 0
    Dernier message: 09/09/2008, 14h28
  4. Réponses: 4
    Dernier message: 22/05/2008, 19h27

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo