Le pivot de l'escroquerie par téléphone obtient 13 ans pour avoir exécuté le service "iSpoof"

Le pivot de l'escroquerie par téléphone obtient 13 ans pour avoir exécuté le service "iSpoof"

Horodatage: 22 mai 2023 2:58
Nœud source: 2677389
by Écrivain Naked Security

En novembre 2022, nous avons écrit sur un takedown multi-pays contre un Système de cybercriminalité en tant que service (CaaS) connue sous le nom iSpoof.

Bien qu'iSpoof ait fait ouvertement de la publicité commerciale sur un site non darkweb, accessible avec un navigateur classique via un nom de domaine non oignon, et même si l'utilisation de ses services aurait pu techniquement être légale dans votre pays (si vous êtes avocat, nous J'adorerais entendre votre opinion sur cette question une fois que vous aurez vu les captures d'écran historiques du site Web ci-dessous)…

… un tribunal britannique n'avait aucun doute sur le fait que le système iSpoof avait été mis en œuvre en pensant à des malversations qui ruinent la vie et drainent de l'argent.

La cheville ouvrière du site, Tejay Fletcher, 35 ans, de Londres, a été condamnée à une peine de prison de plus d'une décennie pour refléter ce fait.

Montrez n'importe quel numéro que vous aimez

Jusqu'en novembre 2022, lorsque le domaine a été supprimé après qu'un mandat de saisie a été délivré aux forces de l'ordre américaines, la page principale du site avait l'air quelque chose comme ceci:

Vous pouvez afficher n'importe quel numéro que vous souhaitez sur l'affichage de l'appel, en simulant essentiellement votre identification de l'appelant.

Et une section explicative plus bas sur la page indiquait assez clairement que le service n'était pas simplement là pour améliorer votre propre vie privée, mais pour vous aider à induire en erreur les personnes que vous appeliez :

Obtenez la possibilité de modifier ce que quelqu'un voit sur son écran d'identification de l'appelant lorsqu'il reçoit un appel téléphonique de votre part. Ils ne sauront jamais que c'était vous ! Vous pouvez choisir n'importe quel numéro avant d'appeler. Votre opposé pensera que vous êtes quelqu'un d'autre. C'est facile et fonctionne sur tous les téléphones du monde !

Au cas où vous auriez encore des doutes sur la façon dont vous pourriez utiliser iSpoof pour vous aider à arnaquer des victimes sans méfiance, voici le propre du site vidéo de marketing, fourni avec l'aimable autorisation de la Metropolitan Police (mieux connue sous le nom de « Met ») à Londres, au Royaume-Uni :

Comme vous le verrez ci-dessous, et dans notre couverture précédente de cette histoire, les utilisateurs d'iSpoof n'étaient pas du tout anonymes.

Plus de 50,000 200 utilisateurs du service ont déjà été identifiés, avec près de XNUMX personnes déjà arrêtées et faisant l'objet d'une enquête rien qu'au Royaume-Uni.

Faire semblant d'être une banque...

En termes simples, si vous vous inscrivez au service d'iSpoof, que vous soyez technique ou non, vous pouvez immédiatement commencer à passer des appels qui apparaîtront sur les téléphones des victimes comme si ces appels provenaient d'une entreprise en laquelle ils avaient déjà confiance.

Comme la police métropolitaine le mettre:

Les utilisateurs d'iSpoof, qui devaient payer pour utiliser ses services, se faisaient passer pour des représentants de banques telles que Barclays, Santander, HSBC, Lloyds et Halifax [banques britanniques bien connues], faisant semblant d'avertir d'une activité suspecte sur leurs comptes.

Les escrocs encourageraient les membres du public sans méfiance à divulguer des informations de sécurité telles que des codes d'accès à usage unique pour obtenir leur argent.

La perte totale signalée par les personnes ciblées via iSpoof est de 48 millions de livres sterling rien qu'au Royaume-Uni, avec une perte moyenne estimée à 10,000 XNUMX livres sterling. Étant donné que la fraude est largement sous-déclarée, le montant total serait beaucoup plus élevé.

Au cours des 12 mois jusqu'en août 2022, environ 10 millions d'appels frauduleux ont été passés dans le monde via iSpoof, dont environ 3.5 millions au Royaume-Uni.

Fait intéressant, le Met indique qu'environ 10% de ces appels britanniques (environ 350,000 200,000 au total), adressés à XNUMX XNUMX victimes potentielles différentes, ont duré plus d'une minute, ce qui suggère un taux de réussite étonnamment élevé pour les escrocs qui ont utilisé le service iSpoof pour donner leur faux appelle un air frauduleux de légitimité.

Lorsque des appels proviennent d'un numéro auquel vous êtes enclin à faire confiance - par exemple, un numéro que vous utilisez suffisamment souvent pour que vous l'ayez ajouté à votre propre liste de contacts afin qu'il apparaisse avec un identifiant de votre choix, tel que Credit Card Company, plutôt que quelque chose d'apparence générique comme +44.121.496.0149...

…vous êtes sans surprise plus susceptible de faire implicitement confiance à l'appelant avant d'entendre ce qu'il a à dire.

Après tout, le système qui transmet le numéro de l'appelant au destinataire avant même que l'appel ne soit répondu est connu dans le jargon sous le nom de Identification de l'appelantou Identification de la ligne appelante (CLI) à l'extérieur de l'Amérique du Nord.

Ce n'est pas une sorte de pièce d'identité

Ces mots magiques ID ainsi que identification ne devrait pas vraiment être là, car un appelant techniquement averti (ou un appelant complètement non technique qui utilisait le service iSpoof) pouvait insérer n'importe quel numéro de son choix lors du lancement de l'appel.

En d'autres termes, l'identification de l'appelant non seulement ne vous dit rien sur la personne qui utilise le téléphone qui vous appelle, mais ne vous dit également rien de fiable sur le numéro du téléphone qui vous appelle.

L'identification de l'appelant « identifie » l'appelant et le numéro d'appel de manière aussi fiable que l'adresse de retour imprimée au verso d'une enveloppe de courrier postal, ou le Reply-To adresse qui se trouve dans les en-têtes de tous les e-mails que vous recevez.

Toutes ces « identifications » peuvent être choisies par l'expéditeur de la communication et peuvent dire à peu près tout ce que l'expéditeur ou l'appelant choisit.

Il faut vraiment les appeler Ce que l'appelant veut que vous pensiez, ce qui pourrait être un paquet de mensonges, plutôt que d'être qualifié de ID ou d’une identification.

Et il y avait énormément de mensonges, grâce à iSpoof, le Met affirmant :

Avant sa fermeture en novembre 2022, iSpoof était en croissance constante. 700 nouveaux utilisateurs s'inscrivaient sur le site chaque semaine et il gagnait en moyenne 80,000 59,000 £ par semaine. Au moment de la fermeture, il comptait XNUMX XNUMX utilisateurs enregistrés.

Le site Web proposait un certain nombre de forfaits pour les utilisateurs qui achèteraient, en Bitcoin, le nombre de minutes qu'ils souhaitaient utiliser le logiciel pour passer des appels.

Le site a engrangé de nombreux bénéfices, selon le Met :

iSpoof a gagné un peu plus de 3 millions de livres sterling, Fletcher profitant d'environ 1.7 à 1.9 million de livres sterling en courant et en permettant aux fraudeurs de ruiner la vie des victimes. Il a vécu un style de vie extravagant, possédant un Range Rover d'une valeur de 60,000 230,000 £ et une Lamborghini Urus d'une valeur de 2022 XNUMX £. Il partait régulièrement en vacances, avec des voyages en Jamaïque, à Malte et en Turquie rien qu'en XNUMX.

Plus tôt en 2023, Fletcher a plaidé coupable aux infractions de fabrication ou de fourniture d'articles destinés à être utilisés dans la fraude, d'encouragement ou d'aide à la commission d'une infraction, de possession de biens criminels et de transfert de biens criminels.

La semaine dernière, il a été condamné à 13 ans et 4 mois de prison ; 169 autres personnes au Royaume-Uni "ont maintenant été arrêtés parce qu'ils étaient soupçonnés d'utiliser iSpoof [et] font l'objet d'une enquête policière."

Que faire?

  • CONSEIL 1. Traitez l'identification de l'appelant comme rien de plus qu'un indice.

La chose la plus importante à retenir (et à expliquer à tous les amis et à la famille que vous pensez être vulnérables à ce type d'escroquerie) est la suivante : LE NUMÉRO DE L'APPELANT QUI APPARAÎT SUR VOTRE TÉLÉPHONE AVANT QUE VOUS RÉPONSIEZ NE PROUVE RIEN.

  • CONSEIL 2. Initiez toujours vous-même les appels officiels, en utilisant un numéro de confiance.

Si vous avez vraiment besoin de contacter une organisation telle que votre banque par téléphone, assurez-vous d'initier l'appel et d'utiliser un numéro que vous avez déterminé vous-même.

Par exemple, consultez un relevé bancaire officiel récent, vérifiez le dos de votre carte bancaire ou même rendez-vous dans une agence et demandez à un membre du personnel en face à face le numéro officiel que vous devriez appeler en cas d'urgence future.

  • CONSEIL 3. Soyez là pour les amis et la famille vulnérables.

Assurez-vous que les amis et la famille qui, selon vous, pourraient être susceptibles d'être gentiment (ou intimidés, confus et intimidés) par des escrocs, peu importe comment ils sont d'abord contactés, sachent qu'ils peuvent et doivent se tourner vers vous pour obtenir des conseils avant d'accepter à quoi que ce soit par téléphone.

Et si quelqu'un leur demande de faire quelque chose qui est clairement une intrusion dans leur espace numérique personnel, comme installer Teamviewer pour les laisser accéder à l'ordinateur, lire un code d'accès secret sur l'écran, ou leur donner un numéro d'identification personnel ou un mot de passe…

…assurez-vous qu'ils savent qu'ils peuvent simplement raccrocher sans dire un seul mot de plus et vous contacter pour vérifier les faits en premier.

Horodatage:

Plus de Sécurité nue