Personne n’est à l’abri à se faire arnaquer en ligne, pas même les personnes qui exécutent les escroqueries. Les cybercriminels utilisant des forums de piratage pour acheter des exploits logiciels et des informations de connexion volées continuent de tomber dans le piège et se font arnaquer des milliers de dollars à la fois, a révélé une nouvelle analyse. De plus, lorsque les criminels se plaignent d’être victime d’une arnaque, ils laissent également une traînée de miettes de leurs propres informations personnelles qui pourraient révéler leur identité réelle à la police et aux enquêteurs.
Les pirates et les cybercriminels se réunissent souvent sur des forums et des marchés spécifiques pour faire des affaires les uns avec les autres. Ils peuvent annoncer les travaux à venir pour lesquels ils ont besoin d’aide, vendre des bases de données de mots de passe et d’informations de carte de crédit volés, ou vanter de nouvelles vulnérabilités de sécurité qui peuvent être utilisées pour pénétrer dans les appareils ou les systèmes des gens. Cependant, ces offres ne se déroulent souvent pas comme prévu.
La nouvelle recherche, publiée aujourd’hui par la société de cybersécurité Sophos, examine ces transactions échouées et les plaintes que les gens ont formulées à leur sujet. “Les escrocs qui arnaquent les escrocs sur les forums et les places de marché criminels sont beaucoup plus importants que nous ne le pensions à l’origine”, déclare Matt Wixey, chercheur chez Sophos X-Ops qui a étudié les places de marché.
Wixey a examiné trois des forums de cybercriminalité les plus importants : les forums en langue russe Exploit et XSS, ainsi que les forums en anglais BreachForums, qui ont remplacé RaidForums lorsqu’il a été saisi par les forces de l’ordre américaines en avril. Bien que les sites fonctionnent de manière légèrement différente, ils ont tous des salles « d’arbitrage » où les personnes qui pensent avoir été arnaquées ou lésées par d’autres criminels peuvent se plaindre. Par exemple, si quelqu’un achète un logiciel malveillant et que cela ne fonctionne pas, il peut se plaindre aux administrateurs du site.
Les plaintes amènent parfois les gens à récupérer leur argent, mais agissent le plus souvent comme un avertissement pour les autres utilisateurs, dit Wixey. Au cours des 12 derniers mois – la période couverte par la recherche – les criminels sur les forums ont perdu plus de 2,5 millions de dollars au profit d’autres escrocs, selon l’analyse. Certaines personnes se plaignent de perdre aussi peu que 2 dollars, alors que les escroqueries médianes sur chacun des sites vont de 200 à 600 dollars, selon la recherche, qui est présentée à la conférence sur la sécurité BlackHat Europe.
Les escroqueries se présentent sous plusieurs formes. Certains sont simples, d’autres plus sophistiqués. Souvent, il y a des escroqueries « rip-and-run », dit Wixey, où l’acheteur ne paie pas pour ce qu’il a reçu ou le vendeur reçoit l’argent mais n’envoie pas ce qu’il a vendu. (Ceux-ci sont souvent connus sous le nom de “rippers”.) D’autres types d’escroqueries impliquent des données falsifiées ou des exploits de sécurité qui ne fonctionnent pas : une personne sur BreachForums a affirmé qu’un vendeur avait tenté de lui envoyer des données Facebook qui étaient déjà publiques.
Lors d’un incident extrême sur le forum Exploit, un compte a publié une longue plainte selon laquelle il avait fourni à quelqu’un un exploit du noyau Windows et n’avait pas reçu les 130 000 $ qu’il avait convenus pour cela. L’acheteur a déclaré qu’il paierait une fois qu’il aurait testé le logiciel, mais n’a jamais versé l’argent. “A chaque étape, il a donné des excuses différentes pour retarder le paiement”, indique une version traduite de la plainte.