Amsterdam, le 07 décembre 2022 — Group-IB, un des leaders mondiaux de la cybersécurité qui est basé à Singapour, a mis au jour un réseau d’arnaqueurs qui incitent leurs victimes, situées en France, en Belgique et au Luxembourg, à leur virer de l’argent. Le gang de malfaiteurs, désigné par le nom de code CryptosLabs par l’équipe Digital Risk Protection de Group-IB, a recours à une célèbre arnaque à l’investissement depuis au moins 2018. Parfaitement organisées, les activités illégales de CryptosLabs obéissent à une hiérarchie de cerveaux, de commerciaux, de développeurs et d’opérateurs de centre d’appel, dont les revenus additionnés s’élèveraient à pas moins de 480 M€, selon les estimations de Group-IB. Group-IB a réussi à reconstituer une infrastructure réseau complexe composée de plus de 300 domaines frauduleux hébergés sur 70 serveurs, ainsi que l’arme fatale du gang, le kit CryptosLabs. Pour attirer les victimes sur de faux portails d’investissement, les arnaqueurs usurpent l’identité de plus de 40 marques européennes bien connues issues des secteurs de la banque, de la FinTech, des cryptomonnaies et de la gestion des actifs. L’équipe de Group-IB, basée à Amsterdam, a pris les devants en avertissant ces entreprises pour leur permettre de neutraliser la menace et en partageant avec les autorités françaises les informations recueillies à propos des arnaqueurs.
Pourquoi avoir choisi le nom CryptosLabs ?
Comme l’ont révélé les enquêteurs de Group-IB, les méfaits de CryptosLabs ont débuté en 2018. Bizarrement construit, ce nom provient d’un modèle de site web frauduleux utilisé par le gang. Le montage sur lequel reposent les opérations du gang est une variante sophistiquée de l’arnaque à l’investissement décrite en juillet par l’équipe Computer Emergency Response Team de Group-IB (CERT-GIB).
D’emblée, la stratégie consiste à faire miroiter aux victimes un fort retour sur investissement de leur capital. Pour trouver des « investisseurs », les arnaqueurs laissent des messages sur des forums consacrés à l’investissement, ou utilisent des canaux de publicité légitimes sur les médias sociaux et les moteurs de recherche dans le but de faire la promotion de leur montage. En gage de crédibilité, ces publicités affichent les logos de célèbres entreprises financières établies en France, en Belgique et au Luxembourg.
Après avoir cliqué sur la publicité, les utilisateurs sont redirigés vers une page de marque frauduleuse. L’équipe de Group-IB a identifié plus de 300 domaines affiliés usurpant l’identité de 40 sociétés populaires, principalement dans le domaine de la finance et de la gestion des actifs. Ces pages utilisent des modèles légèrement différents, mais un code JavaScript identique, les mêmes fichiers statiques et des conventions de nommage similaires pour le domaine (*secure*, *fr*, *mon*, *access*), ce qui permet de les relier à un seul et même acteur malveillant.
À première vue, nous avons affaire à des pages de phishing ordinaires qui usurpent l’identité d’une entreprise de FinTech bien connue. Pourtant, un examen plus approfondi nous révèle qu’il ne s’agit que de la partie émergée de l’iceberg. Les experts de Group-IB ont suivi le lapin blanc et découvert que de faux sites de marque étaient créés afin de recueillir les coordonnées de la victime.
Il est à noter que la victime n’a pas immédiatement accès à la fausse plateforme d’investissement. Le centre d’appel frauduleux vérifie les informations afin d’identifier les cibles les plus vulnérables. Là, des opérateurs se font passer pour des conseillers personnalisés chargés de divisions d’investissement au sein des entreprises promues dans les publicités sur les médias sociaux. Ces opérateurs exposent aux victimes les prochaines étapes ainsi que le fonctionnement de la plateforme, avant de leur fournir des identifiants pour commencer à investir.
Tête baissée
Une fois connectée au portail d’investissement, la victime voit plusieurs graphiques et tableaux qui affichent tous des retours sur investissement et des actions de croissance spectaculaires. Après quelque temps, la victime est recontactée par un « conseiller personnalisé » afin de signer un faux document contractuel et de réaliser un dépôt de 200 à 300 € pour activer le compte. Une fois le dépôt effectué par la victime, l’argent va directement dans la poche des arnaqueurs. De son côté, la victime obtient l’accès à une plateforme de trading frauduleuse qui usurpe l’identité d’une marque. Arrivées à ce stade, les victimes peuvent consulter leur solde et verront s’afficher de multiples opportunités alléchantes pour investir dans des actions, des cryptomonnaies ou encore des NFT. En outre, elles pourront contacter leur « conseiller personnalisé » à tout moment. Certains des tableaux visualisés par Group-IB proposent jusqu’à 17 stratégies d’investissement différentes.
La fausse plateforme entretient l’optimisme des victimes en leur montrant des courbes de croissance exponentielle et en les incitant à verser toujours plus d’argent pour multiplier leurs investissements. Certaines d’entre elles décideront sans doute d’arrêter là et de retirer leur argent, mais les arnaqueurs n’en ont pas fini avec elles. Le conseiller personnalisé les informe en effet que leurs fonds ont été gelés par le centre de traitement bancaire et qu’elles doivent payer des « frais » pour débloquer leur argent. Une fois ces frais acquittés, les arnaqueurs disparaissent avec l’argent.
« L’équipe de Group-IB a identifié au moins 20 victimes en France qui se sont inscrites sur les mêmes plateformes d’investissement et auxquelles les arnaqueurs sont parvenus à extorquer jusqu’à 280 000 € », déclare Anthony Abihssira, analyst dans l’equipe Digital Risk Protection, Group-IB Europe. « Dans un cas étudié par Group-IB, la victime d’une arnaque à l’investissement exécutée par un autre groupe a perdu plus de 1 500 000 €. Group-IB estime le butin empoché par CryptosLabs à hauteur de 480 millions d’euros pour l’ensemble de leurs activités. »
Anatomie de CryptosLabs
L’analyse de l’infrastructure de réseau associée a permis aux enquêteurs de Group-IB de remonter la trace du gang jusqu’en 2018, lorsqu’un premier domaine attribué à CryptosLabs a été enregistré. À l’heure actuelle, leur infrastructure se compose de plus de 300 noms de domaine hébergés sur 70 serveurs différents, comme l’illustre Unified Risk Platform de Group-IB.
Le gang dispose par ailleurs d’un atout considérable sur lequel repose leur persévérance hors du commun : le kit CryptosLabs. Cet ensemble d’outils a été développé dans le but d’automatiser le déploiement de sites web frauduleux à l’aide de plus de 200 modèles de marque. Du fait de sa simplicité d’utilisation, le kit permet aux arnaqueurs les moins expérimentés de créer un site en quelques minutes seulement. Par ailleurs, ce kit inclut des outils pour faciliter les interactions des arnaqueurs avec la victime : une plateforme CRM recensant les profils des victimes, un tableau de répartition des nouveaux « prospects », un outil de téléphonie IP (VoIP) et une messagerie afin de communiquer en temps réel avec les victimes.
« Du point de vue opérationnel, CryptosLabs est une entreprise informatique bien rodée, entièrement automatisée et parfaitement rentable », déclare Anton Ushakov, responsable des cyberinvestigations, Group-IB Europe. « Il s’agit d’une des rares opérations Scam-as-a-Service qui vise avec une telle précision la France, la Belgique et le Luxembourg. Les arnaques à l’investissement aussi sophistiquées que celles-ci ne représentent pas seulement une menace pour l’utilisateur lambda qui perd des milliers d’euros par jour, mais nuisent de façon concrète et immédiate à l’image des entreprises dont la marque a été usurpée par les arnaqueurs. Ce sont elles qui doivent superviser et investiguer ces menaces en continu, car aucun utilisateur seul ne peut démonter une opération frauduleuse de cette ampleur. »
Afin de neutraliser le risque lié à cette usurpation, la bonne stratégie se déroule en deux phases : d’abord, la détection proactive des menaces et leur retrait grâce à des solutions avancées de protection contre les risques numériques, puis l’investigation des montages et la poursuite en justice des arnaqueurs. Cette deuxième phase, qui permettra de faire entièrement disparaître leurs réseaux, nécessite la collaboration avec les autorités locales.
Quelques points à respecter pour éviter les arnaques en tant qu’utilisateur :
Adoptez une vigilance constante. De nos jours, les probabilités d’être victime d’une arnaque en ligne sont bien plus élevées que celles d’être braqué dans la rue. Faites toujours preuve de circonspection face aux communications externes, publicités, messages ou appels émanant prétendument de marques. Mieux vaut prévenir que guérir, surtout lorsqu’il s’agit de votre argent.
Vérifiez la source. Avant de partager des informations, les utilisateurs doivent systématiquement contrôler le domaine de l’URL afin de vérifier qu’il s’agit bien du site web officiel. Si vous doutez de la légitimité d’une entreprise, prenez le temps d’effectuer des recherches. Le diable se cache dans les détails. Saisissez sur Google le nom et l’URL de l’entreprise et recherchez des avis. Vous pouvez également consulter les bases de données de recension officielle des sites web frauduleux : France, Belgique, Luxembourg.
Réfléchissez à deux fois avant de payer. Les chances de récupérer un jour votre argent sont infimes. Les organisations financières légitimes ne demanderont jamais de paiement P2P ni de virements directs par carte de crédit/débit. Examinez attentivement les détails de l’entité légale à laquelle vous allez transférer votre argent pour vérifier qu’ils correspondent à ceux fournis sur le site officiel.
Ne vous taisez pas. Les arnaqueurs comptent sur votre silence. Si vous avez été victime d’une arnaque, votre premier réflexe doit être de le signaler à la police. Fournissez autant de détails que possible afin de faire avancer l’enquête et de faciliter toute action en justice contre les arnaqueurs.
À propos de Group-IB
Group-IB, dont le siège est situé à Singapour, est un des principaux fournisseurs de solutions dédiées à la détection et la prévention des cyberattaques, à l’identification des fraudes en ligne, à l’investigation des cybercrimes et à la protection de la propriété intellectuelle. Les centres de recherche et de threat intelligence de l’entreprise sont répartis au Moyen-Orient (Dubaï), en Asie-Pacifique (Singapour) et en Europe (Amsterdam).
La plateforme Unified Risk de Group-IB constitue un écosystème de solutions qui cerne le profil de menace de chaque organisation et élabore des défenses sur mesure pour s’en protéger en temps réel à partir d’une interface unique. Dédiée à l’intégralité de la chaîne de réponse aux cyberactivités malveillantes, la plateforme Unified Risk de Group-IB regroupe les produits Threat Intelligence, Managed Extended Detection & Response (MXDR), Managed Detection & Response (MDR), Digital Risk Protection, Fraud Protection, Attack Surface Management, Business Email Protection et Digital Forensics & Incident Response (DFIR), ainsi que des services d’audit et de conseil, de formation, de sensibilisation et de cyberinvestigation. Le système Threat Intelligence de Group-IB figure parmi les meilleurs dans les classements de Gartner, Forrester et IDC. Sa plateforme Managed XDR, conçue pour la recherche et la neutralisation proactives des cybermenaces complexes et inconnues, s’est distinguée en tête des solutions du marché dans la catégorie « Network Detection and Response » établie par KuppingerCole Analysts AG, la première entreprise analytique d’Europe. De son côté, l’entreprise Group-IB s’est illustrée en leader des catégories Produit et Innovation. Gartner a reconnu Group-IB comme « Representative Vendor » de la détection des fraudes en ligne pour sa solution Fraud Protection. En outre, pour sa solution Digital Risk Protection (DRP), Group-IB a reçu le prix Innovation Excellence de Frost & Sullivan. La plateforme, alimentée par l’IA et boostée par les technologies brevetées de l’entreprise, est destinée à l’identification et à l’atténuation des risques numériques ainsi qu’à la réponse aux usurpations de marque. Le leadership technologique et les capacités R&D de Group-IB sont l’aboutissement de 19 ans d’enquêtes cybercriminelles menées dans le monde entier et de plus de 70 000 heures de réponse aux incidents cumulées dans notre laboratoire de pointe DFIR, notre service d’investigation des cybercrimes et notre CERT-GIB en vigilance constance.
À travers le monde, Group-IB s’implique activement dans les enquêtes menées par les autorités de police internationales telles qu’Europol et INTERPOL. Group-IB est également membre du groupe consultatif sur la sécurité Internet créé par le Centre européen de lutte contre la cybercriminalité (EC3) dans le but de renforcer la coopération entre Europol et ses partenaires de premier plan dans le monde de l’entreprise.
L’expérience acquise par Group-IB dans la traque des menaces et la cyber intelligence a donné naissance à un écosystème de solutions matérielles et logicielles ultra sophistiquées, conçues pour contrôler, identifier et prévenir les cyberattaques. Au quotidien, Group-IB assure sa mission de protéger ses clients qui évoluent dans le cyberespace en créant et en exploitant des solutions et services à la pointe de l’innovation.
