Bannière annonçant le blocage d'un domaine dans le cadre de l'opération KAERB contre la cybercriminalité internationale.

Europol neutralise une plateforme mondiale de phishing visant les téléphones volés

Le 20 septembre 2024, Europol a annoncé la neutralisation d’un réseau criminel international utilisant une plateforme de phishing pour déverrouiller des téléphones volés ou perdus. Ainsi, l’opération a permis de démanteler l’infrastructure d’iServer, une solution de phishing-as-a-service (PhaaS).

Phishing : un fléau mondial avec des milliers de victimes

D’après Europol, la plateforme iServer a fait plus de 483 000 victimes dans le monde entier. Les pays les plus touchés incluent :

  • Chili : 77 000 victimes
  • Colombie : 70 000 victimes
  • Équateur : 42 000 victimes
  • Pérou : 41 500 victimes
  • Espagne : 30 000 victimes
  • Argentine : 29 000 victimes

Les victimes sont majoritairement des ressortissants hispanophones en Europe, en Amérique du Nord et en Amérique du Sud.

Smartphone avec écran de verrouillage et symbole de clé et serrure, illustrant la sécurité et la protection des données numériques.

Une opération internationale : Opération Kaerb

Ce démantèlement s’inscrit dans le cadre de l’Opération Kaerb, menée avec la coopération des forces de l’ordre et des agences judiciaires de plusieurs pays, dont l’Espagne, l’Argentine, le Chili, la Colombie, l’Équateur et le Pérou. Cette opération, qui s’est déroulée du 10 au 17 septembre 2024, a permis l’arrestation d’un ressortissant argentin, considéré comme le cerveau derrière le développement et la gestion du service PhaaS depuis 2018.

Schéma de l'opération Kraken par la police australienne, détaillant les réseaux criminels utilisant des appareils mobiles pour des activités illicites

Résultats de l’opération

L’opération Kaerb a conduit à :

  • 17 arrestations
  • 28 perquisitions
  • La saisie de 921 objets, y compris des téléphones, des appareils électroniques, des véhicules et des armes

Jusqu’à 1,2 million de téléphones auraient été déverrouillés illégalement grâce à cette plateforme. Group-IB, une entreprise de cybersécurité basée à Singapour, précise que bien qu’iServer soit une plateforme automatisée de phishing, elle se distingue des autres services par son objectif spécifique de déverrouillage des téléphones portables volés.

Un système de phishing sophistiqué

iServer offrait une interface Web permettant à des criminels, souvent peu qualifiés, surnommés « déverrouilleurs », de voler des mots de passe et des identifiants d’appareils mobiles via des plateformes cloud. Ainsi, ils pouvaient contourner des protections comme le mode perdu et déverrouiller les téléphones portables.

Modèle explicatif de crimeware-as-a-service montrant les interactions entre administrateurs, déverrouilleurs, voleurs de téléphones et victimes.

Les criminels utilisaient cette plateforme pour envoyer de faux SMS incitant les victimes à cliquer sur un lien censé localiser leur téléphone volé. Ce clic lançait des redirections vers une page de phishing, où les victimes entraient leurs identifiants, codes d’accès et 2FA. Ces données permettaient ensuite d’accéder aux téléphones, de désactiver le mode perdu et de dissocier l’appareil du compte du propriétaire.

iServer : un réseau criminel en pleine expansion

Selon Group-IB, iServer ne se limitait pas au déverrouillage des téléphones. Les déverrouilleurs revendaient également leurs services à d’autres groupes criminels, notamment des voleurs de téléphones. Ce réseau bien organisé représentait une menace croissante pour la cybersécurité mondiale.

La chute de la plateforme Ghost et d’autres actions majeures

Cette intervention n’est pas la seule à marquer l’actualité de la lutte contre la cybercriminalité. Europol, en collaboration avec la police fédérale australienne (AFP), a récemment démantelé un autre réseau de communication cryptée utilisé par des organisations criminelles mondiales. La plateforme Ghost, accessible via des téléphones Android modifiés, permettait à des criminels de coordonner diverses activités illégales comme le trafic de drogue et le blanchiment d’argent.

Au total, 51 arrestations ont eu lieu dans le cadre de cette enquête internationale, avec des suspects interpellés en Australie, en Irlande, au Canada et en Italie. L’administrateur présumé de Ghost, Jay Je Yoon Jung, âgé de 32 ans, a été arrêté en Nouvelle-Galles du Sud.

Agents de police nationale espagnole et Europol lors d'une opération de lutte contre la cybercriminalité, avec des ordinateurs et téléphones saisis.

Des initiatives internationales pour démanteler les réseaux de cybercriminalité

Les efforts internationaux se multiplient pour faire face aux réseaux cybercriminels. En parallèle des actions contre iServer et Ghost, l’Allemagne a récemment fermé 47 plateformes d’échange de cryptomonnaies qui facilitaient le blanchiment d’argent pour divers groupes de ransomware et d’autres activités criminelles. Ces plateformes opéraient sans programmes de vérification d’identité (KYC), permettant des transactions anonymes, ce qui favorisait le développement de la cybercriminalité.

La lutte contre la cybercriminalité : un défi constant

Les autorités continuent de surveiller l’évolution des outils et plateformes utilisés par les criminels pour échapper à la détection. Europol appelle les entreprises privées à collaborer en garantissant que leurs plateformes ne deviennent pas des refuges pour ces activités illicites, tout en fournissant aux autorités les moyens d’accéder légalement aux communications entre suspects dans le respect des droits fondamentaux.

Sujets annexes: 

Vanilla Tempest : Une nouvelle menace pour le secteur de la santé avec le ransomware INC

Microsoft – Qu’est-ce qu’une cyberattaque ?

Laisser un commentaire