Les chercheurs en cybersécurité attirent l’attention sur la « démocratisation » de l’écosystème du phishing en raison de l’émergence de Telegram comme épicentre de la cybercriminalité, permettant aux acteurs malveillants de monter une attaque de masse pour seulement 230 dollars.
« Cette application de messagerie s’est transformée en un centre animé où les cybercriminels chevronnés et les nouveaux arrivants échangent des outils et des informations illicites, créant une chaîne d’approvisionnement sombre et bien huilée d’outils et de données sur les victimes », ont déclaré Oleg Zaytsev et Nati Tal, chercheurs de Guardio Labs. dit dans un nouveau rapport.
« Des échantillons gratuits, des tutoriels, des kits, et même des hackers à louer : tout ce dont vous avez besoin pour construire une campagne malveillante complète de bout en bout. »
Ce n’est pas la première fois que la plate-forme de messagerie populaire passe sous le radar pour avoir facilité des activités malveillantes, en partie motivées par ses efforts de modération indulgents.
En conséquence, ce qui était auparavant disponible uniquement sur les forums sur invitation du Dark Web est désormais facilement accessible via des canaux et des groupes publics, ouvrant ainsi les portes de la cybercriminalité aux cybercriminels en herbe et inexpérimentés.
En avril 2023, Kaspersky a révélé comment les phishers créaient des chaînes Telegram pour informer les débutants sur le phishing et faisaient la publicité de robots capables d’automatiser le processus de création de pages de phishing pour récolter des informations sensibles telles que les identifiants de connexion.
L’un de ces robots Telegram malveillants est Telekopye (alias Classiscam), qui peut créer des pages Web, des e-mails et des SMS frauduleux pour aider les acteurs malveillants à réaliser des escroqueries de phishing à grande échelle.
Guardio a déclaré que les éléments de base pour construire une campagne de phishing peuvent être facilement achetés sur Telegram – « certains proposés à des prix très bas, et d’autres même gratuitement » – permettant ainsi de créer des pages frauduleuses via un kit de phishing, hébergez la page sur un site Web WordPress compromis via un shell Web et exploitez un logiciel de messagerie de porte dérobée pour envoyer les e-mails.
Les backdoor mailers, commercialisés sur divers groupes Telegram, sont des scripts PHP injectés dans des sites Web déjà infectés mais légitimes pour envoyer des e-mails convaincants en utilisant le domaine légitime du site Web exploité afin de contourner les filtres anti-spam.
« Cette situation met en évidence une double responsabilité des propriétaires de sites », estiment les chercheurs. « Ils doivent non seulement protéger leurs intérêts commerciaux, mais également se protéger contre l’utilisation de leurs plateformes par des fraudeurs pour héberger des opérations de phishing, envoyer des e-mails trompeurs et mener d’autres activités illicites, le tout à leur insu. »
Pour augmenter encore les chances de succès de telles campagnes, les marchés numériques sur Telegram fournissent également ce que l’on appelle des « lettres », qui sont des « modèles de marque conçus par des experts » qui rendent les messages électroniques aussi authentiques que possible pour inciter les victimes à cliquer dessus. le faux lien pointant vers la page d’arnaque.
Telegram héberge également des ensembles de données en masse contenant des adresses e-mail et des numéros de téléphone valides et pertinents à cibler. Appelés « leads », ils sont parfois « enrichis » d’informations personnelles telles que des noms et des adresses physiques pour maximiser l’impact.
« Ces pistes peuvent être incroyablement spécifiques, adaptées à n’importe quelle région, niche, démographie, client d’entreprise spécifique, et plus encore », ont déclaré les chercheurs. « Chaque élément d’information personnelle ajoute à l’efficacité et à la crédibilité de ces attaques. »
La façon dont ces listes de prospects sont préparées peut varier d’un vendeur à l’autre. Ils peuvent être obtenus soit sur des forums de cybercriminalité qui vendent des données volées à des entreprises victimes de violations, soit via des sites Web peu précis qui invitent les visiteurs à répondre à une fausse enquête afin de gagner des prix.
Un autre élément crucial de ces campagnes de phishing est un moyen de monétiser les informations d’identification volées collectées en les vendant à d’autres groupes criminels sous la forme de « journaux », offrant ainsi aux acteurs de la menace un retour sur investissement 10 fois supérieur en fonction du nombre de victimes qui finissez par fournir des détails valides sur la page d’arnaque.
« Les identifiants des comptes de réseaux sociaux sont vendus pour aussi peu qu’un dollar, tandis que les comptes bancaires et les cartes de crédit peuvent être vendus pour des centaines de dollars, en fonction de leur validité et de leurs fonds », ont indiqué les chercheurs.
« Malheureusement, avec juste un petit investissement, n’importe qui peut lancer une opération de phishing importante, indépendamment de ses connaissances préalables ou de ses liens avec le milieu criminel. »