Les terminaux mobiles offrent de nombreux avantages au quotidien, mais ils peuvent aussi représenter des pièges très inquiétants pour les personnes qui ne sont pas suffisamment sensibilisées à certains risques en matière de cybersécurité. Le phishing, notamment par SMS, est un véritable fléau depuis plusieurs années. Et les pirates informatiques le savent : beaucoup de personnes sont très mal informées à son sujet.

Le site SentinelOne laisse régulièrement la parole à des experts en sécurité qui viennent témoigner de leurs découvertes en matière de cybercriminalité sur son blog. Pol Thill, analyste Cyber Threat Intelligence chez QuoIntelligence, a récemment pris la parole pour évoquer le cas de Neo_Net, un cybercriminel d’origine mexicaine, qui a réussi à voler 350 000 euros à de nombreuses victimes, malgré un procédé « relativement peu sophistiqué », de l’aveu de l’expert.

Une arnaque très simple, mais qui fonctionne très bien

« Malgré l’utilisation d’outils relativement peu sophistiqués, Neo_Net a atteint un taux de réussite élevé en adaptant son infrastructure à des cibles spécifiques », explique Pol Thill. Entre juin 2021 et avril 2023, ce pirate informatique s’est attaqué à des centaines de clients de banques du monde entier. C’est essentiellement en Espagne et au Chili que Neo_Net a fait le plus de victimes. En France, les banques Crédit Agricole, Caisse d'Epargne, La Banque postale, Boursorama et Banque de Bretagne ont été touchées.

Comme d’autres cybercriminels, Neo_Net a tout d’abord utilisé la bonne vieille méthode du phishing par SMS pour alerter des milliers de victimes potentielles d’une situation d’urgence sur leur compte en banque, comme un retrait trop élevé ou un blocage de l’argent. De quoi faire paniquer un bon nombre de personnes, qui se sont alors ruées sur le lien présent au sein du message.

Des exemples de pages de phishing sur mobile

A partir de là, un bot Telegram prenait le relai pour extorquer un maximum d’informations personnelles aux victimes. Une fois la banque de la personne identifiée, un lien vers un site de phishing était alors récupéré. « Les pages de phishing ont été méticuleusement configurées à l’aide des panneaux de Neo_Net, PRIV8, et ont mis en œuvre de multiples mesures de défense, notamment le blocage des demandes des agents utilisateurs non mobiles et la dissimulation des pages aux robots et aux scanners de réseau », détaille Pol Thill. « Ces pages ont été conçues pour ressembler étroitement à de véritables applications bancaires, complétées par des animations pour créer une façade convaincante. »

Des applications Android également impliquées dans les arnaques

En plus du phishing, les arnaques proposaient aux victimes d’installer de fausse applications Android sous couvert de protéger les utilisateurs. En réalité, il s’agissait de malware qui envoyaient des SMS en vue de récupérer les codes d’authentification à deux facteurs, basés sur des SMS envoyés par les banques.

Si cette vaste campagne d’arnaques semble désormais terminé, Neo_Net reste encore très actif aujourd’hui. Le site The Hacker News souligne notamment que le hacker aurait récemment lancé une nouvelle campagne reposant sur le trojan Anatsa, un malware qui lui permettrait désormais de cibler des clients bancaires aux États-Unis, au Royaume-Uni, en Allemagne, en Autriche et en Suisse. De quoi multiplier encore plus les victimes…