Au moment oi? des cybercriminels utilisent les applications de rencontre pour gagner des millions
Securite : environ 1,4 million de dollars ont ete voles a des victimes par le biais d’une arnaque liee a toutes les cryptomonnaies et perpetree par le biais d’applications de rencontre.
Sophos a publie cette semaine un rapport via une arnaque qui possi?de conduit au vol de millions d’euros d’utilisateurs de Tinder, Bumble, Grindr, Facebook Dating et d’autres applications de rencontre.
Mode operatoire
Notre modus operandi ? Apres avoir gagne la confiance de leur victime dans une de ces applications de rencontre, les escrocs les convainquaient de telecharger une fausse application de cryptomonnaie, les poussant a investir de l’argent avant de geler un compte.
Mes cybercriminels ont reussi a contourner Apple Developer Enterprise Program et ses certificats, proposant de fausses applications de cryptomonnaie, qui se faisaient passer Afin de Binance ou d’autres marques legitimes. Les escrocs ont egalement abuse de Apple Enterprise/Corporate Signature Afin de gerer a distance les appareils de leurs victimes.
Apple n’a gui?re repondu aux demandes de commentaires. Sophos a egalement contacte Apple a votre sujet et n’a jamais obtenu de reponse.
Apres l’Asie, l’Europe et les Etats-Unis
Image : Sophos.
Selon Jagadeesh Chandraiah et Xinran Wu, chercheurs chez Sophos, votre arnaque, baptisee “CryptoRom”, a permis de derober au moins 1,4 million de dollars a des victimes aux Etats-Unis et dans l’Union europeenne. Dans un rapport, les deux chercheurs affirment que les attaquants, qui avaient commence via cibler des victimes en Asie, se paraissent detournes de ce continent Afin de cibler desormais l’Europe et les Etats-Unis.
Les chercheurs de Sophos ont meme reussi a tomber sur votre portefeuille Bitcoin controle par nos attaquants grace a une victime, qui possi?de partage l’adresse a laquelle elle avait initialement envoye l’argent avant d’etre exclue.
Ingenierie sociale
Jagadeesh Chandraiah explique que CryptoRom s’appuie fortement sur des techniques d’ingenierie sociale, a presque l’integralite des etapes : « avant tout, nos attaquants publient de faux profils convaincants sur des applications de rencontre legitimes. Une fois qu’ils ont retourne contact avec une cible, ils suggerent de poursuivre la conversation sur une plateforme de messagerie ».
« Ils essaient ensuite de persuader la cible d’installer et d’investir dans une fausse application de cryptomonnaie. Au debut, nos rendements semblent tres petits, mais si la victime demande a recuperer le argent ou essaie d’acceder a toutes les fonds, elle essuie un refus et l’argent reste perdu. Nos recherches montrent que les attaquants gagnent des millions de dollars avec une telle arnaque », detaille-t-il.
Au depart, les cybercriminels prennent contact avec leurs victimes sur des applications de rencontre comme Bumble, Tinder, Facebook Dating ou Grindr. Puis ils devient la conversation par d’autres applications de messagerie. C’est a partir de votre moment-la qu’ils orientent la conversation pour amener leurs cibles a telecharger l’application malveillante et a investir de l’argent.
Double peine
L’attaque reste a 2 volets : elle va permettre a Notre fois a toutes les cybercriminels de voler de l’argent a leurs victimes, puis d’acceder a leurs iPhone.
Selon Jagadeesh Chandraiah et Xinran Wu, les attaquants utilisent Apple Enterprise Signature, un systeme concu Afin de les developpeurs de logiciels qui pre-testent de nouvelles applications iOS aupres d’utilisateurs d’iPhone selectionnes avant de les soumettre a l’App Store officiel d’Apple pour examen et approbation.
« Grace a la fonctionnalite systeme Apple Enterprise Signature, les attaquants peuvent cibler des groupes plus importants d’utilisateurs d’iPhone avec leurs fausses applications de cryptomonnaies et obtenir un controle de gestion a distance de leurs appareils. Ca signifie que les attaquants pourraient potentiellement Realiser plus que seulement voler les investissements en cryptomonnaie des victimes. Ils pourraient egalement, entre autres, collecter des precisions personnelles, ajouter et oublier des comptes, ainsi, installer et gerer des applications a d’autres fins malveillantes », mettent en vais garder nos chercheurs.
Si c’est trop excellent pour etre grand. votre n’est probablement pas grand
Jagadeesh Chandraiah ajoute que jusqu’a recemment, les cybercriminels distribuaient principalement leurs fausses applications de cryptomonnaie au moyen de faux sites internet imitant des banques connues ou l’App Store.
« Pour empi?cher d’etre victimes de ce genre d’escroquerie, les utilisateurs d’iPhone ne devraient poser que des applications provenant de l’App Store d’Apple. J’ai regle d’or reste que si quelque chose semble risque ou trop beau Afin de etre vrai – Prenons un exemple, si quelqu’un que vous connaissez a peine vous cause tout d’un plan d’investissement web “genial” qui vous rapportera beaucoup d’argent – alors, malheureusement, c’est probablement une arnaque. »
Une https://besthookupwebsites.org/fr/ohlala-review/ campagne active qui s’etend
Sophos a publie 1 autre rapport via une arnaque comparable en mai, qui visait uniquement des utilisateurs en Asie. Mais au cours des derniers mois, les chercheurs ont constate une expansion etonnante des attaques.
« Cette campagne d’escroquerie est active, ainsi, de nouvelles victimes tombent au panneau tous les jours, avec peu ou pas de perspectives de recuperer leurs fonds perdus. Afin d’attenuer le risque que ces escroqueries ciblent des utilisateurs moins avertis d’appareils iOS, Apple doit avertir les utilisateurs qui installent des applications a l’aide d’une distribution ad hoc ou de systemes de provisionnement d’entreprise que ces applications n’ont nullement ete examinees par Apple », ecrivent nos deux chercheurs.
« Et si les institutions traitant des cryptomonnaies ont commence a mettre en ?uvre des regles de “connaissance du client”, l’absence de reglementation plus large des cryptomonnaies continuera d’attirer des entreprises criminelles par cette categorie de stratagemes, ainsi, rendra vraiment complexe pour les victimes de fraude de denicher leur argent. Ces escroqueries peuvent avoir un effet devastateur sur la vie de leurs victimes. »