Fraude en ligne & usurpation de site web
À Quelques jours des Jeux Olympiques de Paris 2024, la plupart des organisations se préparent à une augmentation significative des tentatives de perturbation, des cyberattaques et des fraudes. En se basant sur les incidents passés et les derniers JO, des scénarios de réponse aux incidents ont été élaborés, en étroite collaboration avec des instances telles que ANSSI – Agence nationale de la sécurité des systèmes d’information.
Une menace persistante demeure : les fraudes visant les spectateurs et touristes.
En nous intéressant aux menaces planant sur ces JO, nous sommes tombés sur une enquête menée par Andrei Moldovan, Chercheur en menaces chez QuoIntelligence. L’enquête en question examine une campagne de fraude en cours, mais encore non médiatisée, surnommée Ticket Heist, visant principalement les touristes russophones et anglophones cherchant à acheter des billets pour les Jeux Olympiques.
🌐 Contexte
Les Jeux Olympiques sont souvent utilisés comme un instrument d’influence géopolitique. En 2024, les tensions internationales, telles que la guerre en Ukraine et le conflit israélo-palestinien, augmentent le risque d’attaques parrainées par des États et des hacktivistes. Le Comité International Olympique a interdit aux athlètes russes et biélorusses de participer sous leur drapeau national, accentuant encore les tensions diplomatiques.
C’est dans ce contexte qu’une faille a été découverte par les hackers. Elle exploite le besoin des utilisateurs russophones à contourner les sanctions imposées afin de se procurer des tickets pour les événements en question.
🎯 Principaux constats
- 708 domaines frauduleux ont été identifiés dans la campagne Ticket Heist, ciblant des individus russophones et anglophones.
- Les Jeux Olympiques de Paris 2024 et l’UEFA EURO 2024 sont les plus à risque.
- Les ventes de faux billets entraînent des pertes financières et des dommages à la réputation de l’organisateur.
🚀 Enquête sur Ticket Heist : les points clés
Après avoir identifié plusieurs domaines usurpant le site officiel de billetterie des Jeux, QuoIntelligence a poussé une analyse plus détaillée. Cette analyse a permis de mettre en lumière un large réseau de 708 domaines frauduleux actifs depuis 2022, leurs activités ayant augmenté en 2023 et se poursuivant en 2024.
Détection Initiale : En avril 2024, les domaines ticket-paris24[.]com et tickets-paris24[.]com ont été identifiés. Ces sites hébergeaient une interface visuellement cohérente permettant aux utilisateurs d’acheter des billets pour les événements des Jeux Olympiques. Malgré quelques fautes d’orthographe et de grammaire dues à une traduction directe du russe à l’anglais, le site imitait parfaitement une plateforme de billetterie légitime

Analyse des mots-Clés et des IPs : La surveillance des mots-clés couramment utilisés dans les enregistrements de domaines a révélé un schéma intrigant. Cela a conduit à l’identification de plusieurs autres domaines similaires. Les analyses ont révélé une adresse IP centrale, 179[.]43[.]166[.]54, utilisée pour la majorité des sites frauduleux.

Pivot sur l’infrastructure : Bien que chaque site ait des certificats SSL uniques, compliquant le pivotement basé sur les certificats, la structure des domaines et sous-domaines suivait un schéma cohérent. En combinant l’analyse des sous-domaines, des enregistrements DNS et des fichiers JavaScript communs, un réseau de 708 domaines actifs depuis 2022 a été cartographié. En moyenne, 20 nouveaux domaines étaient créés mensuellement, avec un pic notable de plus de 50 en novembre 2023.

Falsification des sites : Les sites étaient méticuleusement conçus. Par exemple, les politiques de confidentialité affichaient des dates de publication anciennes pour paraître légitimes, et les sites avaient des pages d’accueil et des interfaces utilisateur identiques, avec seulement des variations mineures dans le contenu et les langues. Cependant, des erreurs de traduction et des incohérences dans les informations de contact et les politiques de confidentialité ont permis de déceler la fraude.

Interaction de test : Pour évaluer le comportement des sites, des tentatives d’achat de billets ont été simulées. Les sites utilisaient Stripe comme système de paiement, et les transactions n’étaient approuvées que si la carte disposait de fonds suffisants. Une carte virtuelle chargée de 1 EUR n’a pas pu réussir de transaction, confirmant que les attaquants cherchaient à s’assurer que la transaction pouvait être complète.

Société associée : VIP Events Team LLC, la société liée aux sites frauduleux, a été formée en novembre 2021. Cette société n’a jamais eu de site web actif et n’a aucune présence sur Google ou les réseaux sociaux. Bien que basée aux États-Unis, l’adresse listée sur le site frauduleux indiquait la Géorgie, révélant une autre incohérence.

🌍 Identification des victimes
La majorité des sites ciblaient des individus russophones, en exploitant leur besoin de contourner les sanctions géopolitiques. D’autres victimes potentielles incluaient des pays voisins comme l’Estonie, la Lituanie, la Lettonie et le Kazakhstan. Des anomalies ont également été détectées, avec des cibles anglophones pour l’UEFA EURO 2024 et divers artistes ou groupes musicaux tels que Twenty One Pilots, Iron Maiden, Bruno Mars…
🔎 Conclusions et préconisations
Cette étude fait le focus sur les organisateurs d’événements et les systèmes de billetterie en ligne, mais la menace concerne plus largement toutes les organisations disposant de systèmes de transaction en ligne.
Il est crucial d’identifier les vulnérabilités spécifiques de vos plateformes et de vos processus afin de protéger vos utilisateurs et la réputation de votre organisation contre les fraudes potentielles. Voici quelques unes de nos recommandations :
- Surveillez les domaines : Utilisez des outils pour détecter et signaler les domaines frauduleux.
- Sécurisez les transactions :Dans le cas de sites revendeurs assurez vous que les utilisent des certificats SSL/TLS valides.
- Éduquez vos utilisateurs : Sensibilisez sur les signes de fraude et les pratiques sécurisées pour acheter des billets. Encouragez l’utilisation de cartes de paiement à usage unique.
- MFA : Implémentez l’authentification à deux facteurs pour les transactions importantes.
- Partage d’informations : Participez à des réseaux de partage de menaces et collaborez avec les autorités.
Source : QuoIntelligence
MGM Solutions vous accompagne dans l’élaboration et la mise en place de votre stratégie de cybersécurité afin de vous garantir une résilience face aux menaces.
Reflets de notre expérience et de nos interventions nos 4 pôles cyber ont été pensés pour vous et couvrent tous les aspects de la cybersécurité.
