Les escrocs par SMS de l’USPS ont trompé sa femme, alors il a piraté leur opération.

L’inondation de messages texte a commencé à arriver tôt cette année. Ils avaient une poussée similaire : Le Service Postal des États-Unis essaie de livrer un colis mais a besoin de plus de détails, y compris votre numéro de carte de crédit. Tous les messages renvoyaient vers des sites web où les informations pouvaient être saisies. Comme des milliers d’autres, le chercheur en sécurité Grant Smith a reçu un message de colis USPS. Beaucoup de ses amis avaient reçu des textes similaires. Quelques jours plus tôt, dit-il, sa femme l’a appelé et a dit qu’elle avait involontairement saisi les détails de sa carte de crédit. Avec peu de choses à faire après les fêtes, Smith a commencé une mission : Pourchasser les escrocs. Au cours de quelques semaines, Smith a traqué le groupe de langue chinoise derrière la campagne de smishing de masse, piraté leurs systèmes, collecté des preuves de leurs activités, et commencé un processus de collecte de données des victimes et de remise à des enquêteurs de l’USPS et à une banque américaine, permettant aux cartes des gens d’être protégées contre l’activité frauduleuse. Au total, les gens ont saisi 438 669 cartes de crédit uniques dans 1 133 domaines utilisés par les escrocs, dit Smith, un ingénieur d’équipe rouge et le fondateur de la firme de cybersécurité offensive Phantom Security. Beaucoup de personnes ont saisi plusieurs cartes chacune, dit-il. Plus de 50 000 adresses email ont été enregistrées, y compris des centaines d’adresses email universitaires et 20 domaines email militaires ou gouvernementaux. Les victimes étaient réparties à travers les États-Unis—la Californie, l’État avec le plus, comptait 141 000 inscriptions—avec plus de 1,2 million d’informations saisies au total. « Cela montre l’ampleur du problème », dit Smith, qui présente ses découvertes lors de la conférence sur la sécurité Defcon ce week-end et a précédemment publié quelques détails sur le travail. Mais l’ampleur de l’arnaque est probablement bien plus importante, dit Smith, car il n’a pas réussi à traquer tous les sites web frauduleux USPS, et le groupe derrière les efforts a été lié à des escroqueries similaires dans au moins une demi-douzaine d’autres pays.

Share the Post: