L’équipe de GoSecure Titan Labs a découvert un nombre important de faux sites Web bancaires grâce à des échantillons obtenus par la solution de détection et réponse gérées de GoSecure Titan. Contrairement aux sites d’hameçonnage conventionnels qui se fond passer pour des banques spécifiques afin de voler les informations de connexion des utilisateurs, ces sites tentent de se présenter comme le site et/ou le portail d’une banque fictive.

Dans ce blog, l’équipe de GoSecure Titan Labs détaillera son enquête « Opération Bankroll », exposera plusieurs sites Web de fausses banques, expliquera le problème croissant des faux domaines bancaires et fournira des conseils pratiques pour éviter d’être victime de ces fraudes.

L’objectif de ces faux sites bancaires n’est pas tout à fait clair et peut varier, mais certains motifs probables sont les suivants :

  • Tenter de prendre les informations d’identification fournies par une victime dans le but de les utiliser pour se connecter aux sites Web bancaires légitimes de la victime. (C’est ce qu’on appelle le « credential stuffing »).
  • Dérober les fonds du compte bancaire d’une victime lorsqu’elle tente de les joindre ou de transférer des fonds à partir du faux compte.
  • Utiliser les données personnelles fournies par une victime dans le but de voler l’identité de cette dernière.
  • Utiliser les faux comptes bancaires pour faciliter les arnaques en matière d’investissement. Par exemple, les fraudes liées au domaine de l’investissement en crypto-monnaies sont largement diffusées sur les plateformes de médias sociaux, en particulier sur Twitter et Instagram. L’acteur de la menace gagnera la confiance de personnes désireuses d’investir, les conduisant éventuellement vers l’un de ces nombreux faux sites financiers, et disparaîtra après avoir réussi à obtenir des capitaux. Les chercheurs de GoSecure Titan Labs sont récemment tombés sur une de ces fraudes où il semble qu’au moins quelques dizaines de victimes aient investi dans une fraude à l’achat de crypto-monnaies sur Facebook.
  • Il est également possible que certains de ces faux sites financiers soient utilisés dans le cadre d’une fraude à plus grande échelle, telle qu’une chaîne de Ponzi.

Après avoir observé des courriels entre un client et une fausse banque appelée « Universal Financial Bank », nous avons décidé de creuser un peu plus cette activité et de voir ce qui se passe avec ces faux sites bancaires.

 

Universal Financial Bank

Nous avons découvert une banque se faisant appeler « Universal Financial Bank » (UFB) à l’URL hxxps[://]issl[.]pw/universalbank[.]com. Ce site et son contenu ont été clonés à partir du site Web de la banque légitime Arbuthnot Latham (AL) entre le milieu et la fin de 2020. Vous trouverez ci-dessous une capture d’écran montrant le site de l’UFB côte à côte avec une copie archivée du site d’AL prise en juillet 2020.

Operation-Bankroll_Image-1

En dehors de l’ajout de son logo (et de l’utilisation d’une photo de l’un des bâtiments d’AL), l’auteur de la menace n’a apporté que quelques modifications notables au site cloné.

Tawk.to

L’acteur malveillant a ajouté une application de chat en temps réel et de formulaire de contact appelée Tawk.to en utilisant l’identifiant 5f2e6d455c885a1b7fb753f1. Nous leur avons laissé un message indiquant notre intérêt pour l’ouverture d’un compte, mais ils n’ont pas encore répondu.

Changement de numéro de téléphone

Tous les numéros de téléphone figurant sur le site ont été adaptés à partir des numéros originaux figurant sur le site Web d’AL en remplaçant une section arbitraire de quatre chiffres par les lettres « ARTH ». Par exemple, « +44 (0) 1392 496061 » a été remplacé par « +44 (0) ARTH 496061 ». Cela a probablement été fait pour empêcher les victimes d’appeler les numéros sans qu’ils aient l’air faux, bien que l’on ne sache pas pourquoi l’attaquant ne les a pas remplacés par quelque chose qui ressemblerait davantage à sa marque, comme « UFBK ».

Les acteurs malveillants ont également ajouté un tout nouveau numéro de téléphone « +44 1632 690 668 ». Malheureusement, les appels à ce numéro n’ont pas abouti et une tonalité hors service (« not in service ») a été diffusée.

Formulaires d’ouverture de compte

L’acteur dmalveillant a également ajouté des formulaires permettant aux victimes de s’inscrire à un compte bancaire. Ces formulaires étaient assez courts, mais demandaient quelques détails et informations invasives, notamment :

  • Prénom et nom
  • Adresse
  • Profession
  • Nom et adresse d’un proche parent
  • Copie du passeport de la victime

Une fois ces formulaires remplis et soumis, la victime a été redirigée vers le même formulaire avec le texte « Enregistrement du compte réussi ». Cependant, nous n’avons pas encore reçu notre identifiant de compte, et de ce fait, nous ne pouvons donc pas nous connecter à cette fausse banque. Nous avons donc contacté l’adresse courriel fournie par UFB à universalfinbank[@]issl[.]pw afin d’obtenir de l’aide.

Attaque de l’infrastructure

Le domaine issl[.]pw a été enregistré via Namecheap le 14/09/2021. Le faux site bancaire utilise un hébergement partagé avec Namecheap sur l’adresse IP 198.187.31[.]121. Le domaine utilise le service Jellyfish de Namecheap comme échangeur de courrier.

 

International Commerce Finance Bank

Une autre banque se faisant appeler « International Commerce Finance Bank (ICFB) (et parfois « International Business Finance Bank ») a été trouvée à l’URL hxxps[://]icbnk[.]com.

Contenu original

Contrairement à UFB, ICFB ne semblait pas avoir copié son contenu à partir du site Web d’une banque légitime. Son contenu était plus générique et faisait très probablement partie du modèle que cet acteur malveillant utilisait à ce moment-là. Nous avons recherché sur Google l’une des phrases figurant sur la page, « We provide the best solution to your financial needs » [sic] et nous avons trouvé d’autres fausses banques :

  • SwedRegion Bank (hxxps[://]swedregionbk[.]com)
  • RSWACU (hxxps[://]rswacu[.]com)
  • British Finance Bank (hxxps[://]britishfinancebnk[.]com)

Bien que ces sites de fausses banques contiennent la même phrase, ils utilisent en fait un modèle différent, la phrase se trouvant à un autre endroit. En recherchant à nouveau une autre phrase du site, « Save your money with us to enjoy great benefit of », nous avons trouvé d’autres fausses banques utilisant le même modèle que le site de l’ICFB :

  • International Business Finance Bank (hxxps[://]ifbnk[.]com)
  • International Business Finance Bank (hxxps[://]ibfinancebk[.]com)

Ouverture d’un compte

Tout comme l’UFB, l’ICFB propose un formulaire d’ouverture de compte, nous nous sommes donc permis d’y jeter un coup d’œil. Une fois connectés, nous avons vu de jolis graphiques bien que sans signification, et un tableau des taux de change.

Operation-Bankroll_Image-2

Une fois ouvert, le compte contenait 0,00 $. Il aurait pu être judicieux pour l’acteur de la menace de mettre une petite somme d’argent sur le compte dans l’optique d’inciter les nouveaux titulaires de compte à tenter de la transférer sur leur vrai compte. Il est intéressant de noter que la page de transfert de fonds ne semblait permettre que le transfert de fonds vers un autre compte, mais qu’il n’y avait pas de fonds à transférer.

Operation-Bankroll_Image-3

 

International Business Finance Bank

Nous avons examiné plus attentivement l’International Business Finance Bank (IBFB) pour voir ce que nous pouvions trouver d’autre.

Fake Address

IBFB a fourni comme adresse le « 1824 Brannon Street, Los Angeles, California, United States », qui selon l’application Google Maps, n’est pas une adresse réelle. De plus, en entrant l’adresse dans Google Maps, il nous a également été possible de découvrir plusieurs autres fausses banques et institutions financières :

  • International Finance Bank (hxxps[://]intfinancebk[.]com)
  • APN Financial Bank (hxxps[://]apnfinancebk[.]com)
  • Gold Piece Management (hxxps[://]goldpiecemanagement[.]com)
  • Apex Finance Bank (hxxps[://]apexfinancebnk[.]com)
  • Airstro Finance Bank (hxxps[://]airstrofinance[.]com)

Elles utilisaient toutes le même modèle de site Web avec un logo différent. Toutes ces institutions sont apparues lors d’une recherche sur l’adresse de la rue Brannon. Cependant, Gold Piece et Apex utilisent des adresses différentes : « 1435 Stockton St San Francisco, CA 94133-3816 » et « 9150 Elk Grove Florin Rd, Elk Groove, CA 95624 », respectivement une banque américaine et une banque PNC. Plus étrange encore, Airstro a indiqué l’adresse de Stockton Street comme étant la sienne immédiatement suivie d’une adresse à Istanbul : « Giz Plaza No:3 K : 14, Maslak Istanbul 34396 », l’adresse d’un immeuble de bureaux partagé.

ICBNK (International Commerce Bank) indique une adresse de Shawnee Mission 10302 W 62nd ST Shawnee Mission, KS 66203 qui s’avère à être l’adresse de Oakside Apartments. En effectuant une recherche avec les mots « International Commerce Bank à Shawnee, KS, » une personne tomberait sur une liste de Commerce Bank à Shawnee sur Mission Parkway. Le domaine a été enregistré en juillet 2021 auprès du fournisseur bien connu de domaines douteux, NAMECHEAP. Il est intéressant de noter que les domaines sont configurés de manière à obtenir des résultats de recherche sur Google, de sorte que lorsqu’ils sont recherchés, ils semblent avoir encore plus de légitimité.

 

Un problème en pleine expansion

Nous avons examiné tous les domaines enregistrés entre le 22/07/2021 et le 25/07/2021 et nous avons découvert des centaines de domaines contenant les mots « bank » ou « bnk ». La plupart d’entre eux avaient déjà été supprimés, mais au moins une douzaine d’entre eux étaient encore en ligne lorsque nous avons regardé.

  • Trust Capital Finance Bank (hxxps[://]trustcapitalfinancebnk[.]com)
  • Global Capital Bank (hxxps[://]www[.]capitaltrustbnk[.]com)
  • Interbank Clearing House (hxxps[://]interbankclearinghouse[.]com)
  • Mogano Safe Bank (hxxps[://]moganosafebank[.]com)
  • Batrix Bank (hxxps[://]batrixbank[.]com)
  • BDC Private Banking (hxxps[://]bdcprivatebanking[.]com)
  • Geckobank (hxxps[://]geckobank[.]net)
  • Moon Commercial Bank (hxxps[://]mooncommercialbank[.]com)
  • Mi Heritage Bank (hxxps[://]miheritagebank[.]com)
  • Pedcobank (hxxps[://]pedcobank[.]com)
  • TD Inter Bank (hxxps[://]tdreservedbank[.]com)
  • Heritage Forest Bank (hxxps[://]heritageforestbank[.]com)

Il semble que de multiples acteurs ou groupes malveillants aient créé des centaines de ces fausses banques chaque jour, et ce, en réutilisant souvent le même modèle. La plupart sont retirés rapidement, mais beaucoup restent en ligne pendant des mois. Nous recommandons aux bureaux d’enregistrement d’examiner de plus près toute personne tentant d’enregistrer un nom de domaine contenant le mot « bank ».

D’après les données que nous avons pu trouver, plus de 5000 domaines contenant les mots « bank » ou « bnk » ont été enregistrés en décembre 2021. Bien que tous ne soient pas de fausses banques, la majorité de ces domaines ont déjà été retirés ou sont de nouveau en vente par des courtiers en domaines, ce qui suggère qu’ils n’ont pas été initialement achetés à des fins légitimes.

 

Conseils: 8 manières simples de repérer un faux site Web bancaire

Il y a plusieurs choses à surveiller lorsque vous travaillez avec une banque en ligne avec laquelle vous n’avez jamais travaillé ou entendu parler auparavant. Bien sûr, le choix le plus sûr est d’utiliser une banque locale ou l’une des nombreuses banques nationales bien connues, mais si vous choisissez d’utiliser une banque uniquement en ligne, gardez un œil sur les signaux d’alarme suivants.

1. Vérifier que les adresses sont bien légitimes

De nombreuses fausses banques fournissent des adresses invalides que vous ne pouvez pas trouver sur une carte, ou l’adresse d’une banque légitime sous un autre nom. Vérifiez toujours les adresses qu’elles fournissent sur une carte comme Google Maps pour voir ce qu’il en est réellement.

2. Hyperliens non valides vers les médias sociaux

De nos jours, presque toutes les banques ont des comptes actifs sur les médias sociaux. Si la banque en ligne que vous recherchez n’en a pas, ou si les liens qu’elle fournit ne mènent nulle part, il y a de fortes chances qu’elle ne soit pas une banque légitime.

3. Non membre de la FDIC ou de la NCUA

Presque toutes les banques légitimes sont membres de la « Federal Deposit Insurance Corporation » (FDIC). Vous pouvez entrer le nom d’une banque en ligne dans la suite « BankFind » de la FDIC pour vérifier si elle est enregistrée auprès de la FDIC. Pour les coopératives de crédit, vous pouvez consulter l’outil « Research a Credit Union » de la NCUA. Les banques internationales ou étrangères doivent être enregistrées auprès d’un organisme directeur dans le pays où se trouve leur siège social. Pour le Canada, il s’agit de la Société d’assurance-dépôts du Canada (SADC), qui fournit la liste de ses membres. Si vous n’êtes pas en mesure de vérifier l’existence d’une charte gouvernementale ou d’un enregistrement auprès d’une banque en ligne, il est fort probable qu’il s’agisse d’une fausse banque se livrant à une activité frauduleuse quelconque.

4. Des conditions incroyables

De nombreuses fausses banques tentent de vous attirer avec des conditions incroyables, telles que « sans intérêt » ou une offre confirmant qu’à l’ouverture d’un compte vous recevrez de l’argent. Gardez toujours à l’esprit le dicton suivant : si cela semble trop beau pour être vrai, c’est probablement le cas.

5. Sites Web incohérents ou mal conçus

La plupart des banques, en particulier les banques en ligne, consacrent beaucoup d’argent et de soin à leurs sites Web. Après tout, ces sites sont une extension des sites physiques de la banque, ou peut-être le seul moyen pour la banque de faire une bonne impression. Si le site Web est rempli d’éléments de conception incohérents, de fautes d’orthographe, d’une grammaire médiocre, d’images manquantes, de liens brisés, etc., il y a de fortes chances qu’il ne s’agisse pas d’une banque légitime.

6. Des hyperliens qui ne mènent nulle part

De nombreux faux sites bancaires ont une page pleine de liens vers les programmes qu’ils proposent. Cependant, lorsque vous cliquez sur ceux-ci, vous n’allez nulle part. Ils agissent ainsi pour donner l’impression d’être une banque à part entière sans avoir à gérer un grand nombre de fausses pages.

7. Noms de domaine enregistrés récemment

De nombreuses fausses banques en ligne ont des noms de domaine qui ont été enregistrés au cours des derniers mois. Vous pouvez entrer le nom de domaine dans un site « whois » comme celui fourni par l’ICANN. Si la date d’enregistrement remonte à moins d’un an, il y a de fortes chances que la banque soit fausse, surtout si le site Web comporte un texte affirmant avoir « 15 ans d’activité ».

8. Phrases courantes

Une façon de repérer une fausse banque en ligne consiste à choisir une phrase de sa page d’accueil et à la rechercher sur Google, entourée de guillemets. Si plusieurs sites bancaires sans rapport entre eux apparaissent dans les résultats de recherche, la banque que vous recherchez est probablement l’un des nombreux faux sites bancaires utilisant le même modèle.

 

 

Principaux points à retenir

L’utilisation des services bancaires numériques et en ligne ne cesse de croitre. Les acteurs malveillants en ont profité pour étendre leur méthode de ciblage en créant de faux sites bancaires pour voler les informations des utilisateurs. Le nombre de faux sites a considérablement augmenté au cours des dernières années et, généralement, cette tromperie passe inaperçue. Grâce à des échantillons collectés par la solution de détection et réponse sur les boîtes de messagerie de GoSecure Titan, GoSecure Titan Labs a été en mesure d’exposer plusieurs sites et de partager ce guide pour repérer les nouvelles fraudes dès leur création. N’oubliez pas de suivre GoSecure sur Twitter et LinkedIn pour plus d’informations et d’enquêtes en matière de sécurité.

 
Ce blog a été rédigé par Paul Neuman et Jonathan Gregson, chercheurs de GoSecure Titan Labs.

Détection et réponse gérées Titan
Antivirus de nouvelle génération
Détection et réponse sur les terminaux
Détection et réponse sur le réseau
Détection et réponse sur les boîtes de messagerie
Détection et réponse face aux menaces internes
Gestion des pare-feu
Gestion des SIEM
La gestion des vulnérabilités en tant que service
GoSecure Titan
Logiciel Titan
Sécurité de la messagerie
Sécurité Web
Boîte à outils «Responder PRO Forensics»
Services professionnels
Services de préparation aux brèches
Évaluation de la cybersécurité
Services de réponse aux incidents
Services des équipes « Red & Purple »
Services de tests d'intrusion
Services de conformité et d'audit
Évaluation de la compromission de la sécurité
Technologies tierces

Pin It on Pinterest

Share This