La police allemande arrête trois personnes accusées d'avoir mené une campagne massive de phishing

Les autorités allemandes ont arrêté trois hommes en Rhénanie du Nord-Westphalie, les accusant d'avoir mené une campagne d'hameçonnage (phishing) qui aurait rapporté 4 millions d'euros en moins d'un an.

Alors que de nombreuses campagnes de phishing consistent principalement à collecter autant de données que possible sur leurs victimes, certaines campagnes vont beaucoup plus loin. Selon les autorités, l'une des trois personnes arrêtées est un citoyen allemand de 24 ans soupçonné d'avoir déployé l'attaque. Un complice présumé a également été inculpé et une troisième personne fait toujours l'objet d'une enquête.

Les attaquants ont envoyé des e-mails de phishing qui imitaient les messages des banques allemandes, informant les destinataires de supposés problèmes de sécurité du compte. En se connectant au faux site Web de phishing, les victimes ont bien malgré elles offert leurs informations d'identification aux attaquants.

C'est là que de nombreuses campagnes de ce type se terminent généralement, les informations d'identification volées se retrouvant en vente sur le dark net. Ces assaillants, cependant, avaient d'autres plans. Ils ont utilisé les informations et demandé aux victimes leur TAN (numéro d'authentification de transaction), ce qui a permis aux pirates de retirer des fonds des comptes bancaires.

Pire encore, ils ont également visé les banques concernées avec des attaques DDoS (déni de service) pour dissimuler leurs vols, essayant de rendre les services bancaires en ligne indisponibles. Selon le document d'accusation publié par Bleeping Computer, une grande partie de leurs efforts ont été possibles parce qu'ils ont acheté plusieurs offres de services cybercriminels (Crime-as-a-Service) sur le Dark Web.

Toute la campagne a duré du 3 octobre 2021 au 29 avril 2022. Deux des trois personnes arrêtées ont été inculpées de 124 actes de fraude informatique à Hanovre et dans d'autres villes.

Tous les e-mails de phishing ne sont pas faciles à distinguer des vrais. C'est une situation où l'installation d'une solution de sécurité, que ce soit sur téléphone ou ordinateur personnel, fait toute la différence. Cliquer sur des liens de phishing déclenche instantanément la protection et informe les utilisateurs qu'ils pourraient être victimes de fraude.

Il convient également de rappeler que les banques, les institutions financières et les organisations similaires ne demandent pas d'informations personnelles sur Internet ou par téléphone. Cela est particulièrement vrai pour les données sensibles telles que les numéros PIN ou TAN qui ne doivent en aucun cas être partagés avec qui que ce soit.