Une opération de police internationale a démantelé un service d’usurpation d’identité en ligne qui permettait aux cybercriminels de se faire passer pour des sociétés de confiance pour voler plus de 120 millions de dollars aux victimes.
iSpoof, qui affiche désormais un message indiquant qu’il a été saisi par le FBI et les services secrets américains, proposait des services de « spoofing » qui permettaient aux utilisateurs payants de masquer leurs numéros de téléphone avec un numéro appartenant à une organisation de confiance, comme les banques et les bureaux des impôts , pour mener des attaques d’ingénierie sociale.
« Les services du site Web ont permis à ceux qui s’inscrivent et paient pour le service de passer anonymement des appels falsifiés, d’envoyer des messages enregistrés et d’intercepter des mots de passe à usage unique », a déclaré Europol dans un communiqué jeudi. « Les utilisateurs ont pu se faire passer pour un nombre infini d’entités pour un gain financier et des pertes substantielles pour les victimes. »
La police métropolitaine de Londres, qui a commencé à enquêter sur iSpoof en juin 2021 avec des agences internationales d’application de la loi, aux États-Unis, aux Pays-Bas et en Ukraine, a déclaré qu’elle avait arrêté l’administrateur présumé du site Web, nommé Teejai Fletcher, 34 ans, accusé de fraude et d’infractions liées au crime organisé. Fletcher a été placé en garde à vue et comparaîtra devant le Southwark Crown Court à Londres le 6 décembre.
iSpoof comptait environ 59 000 utilisateurs, ce qui a causé 48 millions de livres sterling de pertes à 200 000 victimes identifiées au Royaume-Uni, selon la Met Police. Une victime a été victime d’une arnaque sur 3 millions de livres sterling, tandis que le montant moyen volé était de 10 000 livres sterling.
Europol affirme que les opérateurs du service ont engrangé des bénéfices estimés à 3,8 millions de dollars au cours des 16 derniers mois seulement.
La police métropolitaine a déclaré qu’elle avait également utilisé les enregistrements de paiement en bitcoins trouvés sur le serveur du site pour identifier et arrêter 100 autres utilisateurs du service iSpoof basés au Royaume-Uni. L’infrastructure du site, qui était hébergée aux Pays-Bas mais déplacée à Kyiv plus tôt en 2022, a été saisie et mise hors ligne lors d’une opération conjointe ukraino-américaine au début du mois.
La police a une liste de numéros de téléphone ciblés par les fraudeurs iSpoof et contactera les victimes potentielles par SMS jeudi et vendredi. Le message texte demandera aux victimes de visiter le site Web du Met pour l’aider à construire plus de cas.
Helen Rance de l’unité de cybercriminalité de la police métropolitaine a déclaré : « Au lieu de simplement supprimer le site Web et d’arrêter l’administrateur, nous nous sommes attaqués aux utilisateurs d’iSpoof. Notre message aux criminels qui ont utilisé ce site Web est : nous avons vos coordonnées et nous travaillons dur pour vous localiser, où que vous soyez. »