La police a fermé un service Web utilisé par plus de 2 000 criminels dans le monde pour lancer et gérer des attaques de phishing.
La police métropolitaine a travaillé avec les forces de police de 19 pays pour perturber la plus grande plateforme de phishing en tant que service au monde, connue sous le nom de LabHost.
Les forces de l’ordre ont procédé à 37 arrestations dans le monde après avoir fouillé plus de 70 adresses, avec des arrestations au Royaume-Uni dans les aéroports de Manchester et de Luton, dans l’Essex et à Londres. Les arrestations au Royaume-Uni incluent quatre personnes liées à l’exploitation de LabHost, dont le développeur d’origine du site.
LabHost proposait le phishing en tant que service, qui permettait aux abonnés de créer de faux sites Web conçus pour inciter les victimes à révéler des informations personnelles, notamment des adresses e-mail, des coordonnées bancaires et des mots de passe.
70 000 victimes de fraude au Royaume-Uni
Les détectives ont établi que 70 000 victimes au Royaume-Uni ont saisi leurs coordonnées sur l’un des sites de phishing frauduleux de LabHost. Jusqu’à présent, environ 25 000 victimes au Royaume-Uni ont été informées que leurs données avaient été compromises.
Dans le monde entier, le service Web a été utilisé pour obtenir 480 000 numéros de carte, 64 000 codes PIN et plus d’un million de mots de passe, mais les chiffres finaux seront probablement plus élevés.
Depuis sa création en 2021, LabHost a reçu des paiements d’un peu moins d’un million de livres sterling de la part d’utilisateurs criminels. La police métropolitaine a déclaré que les détectives ont identifié de nombreux criminels qui ont utilisé ce service et que les enquêtes se poursuivent pour retrouver ceux qui n’ont pas encore été arrêtés.
Peu de temps après la perturbation de la plateforme, 800 utilisateurs ont reçu un message d’avertissement de la part de détectives leur disant : « nous savons qui ils sont et ce qu’ils ont fait ».
Phishing en tant que service
Le crime en tant que service est un modèle économique en croissance rapide permettant de fournir des outils, des services ou une expertise aux cybercriminels pour mener des attaques.
LabHost proposait une gamme de services de phishing via des abonnements mensuels à plusieurs niveaux, qui pouvaient être déployés en quelques clics.
Les clients ont utilisé le service pour cibler les institutions financières et les services postaux et de télécommunications avec des e-mails et des SMS de phishing. Le site proposait un menu de plus de 170 faux sites Web conçus pour ressembler à ceux d’organisations légitimes.
Les criminels ont également utilisé un outil de gestion fourni par le site Web, connu sous le nom de LabRat, pour déployer des attaques de phishing et les surveiller et les contrôler en temps réel. LabRat a été conçu pour capturer les codes d’authentification à deux facteurs, permettant ainsi aux criminels de contourner les protections de sécurité.
Europol a déclaré que les forces de l’ordre avaient rassemblé une « grande quantité » de données, qui seront utilisées pour étayer les enquêtes en cours.
LabHost a débuté au Canada
LabHost est né au Canada en 2021, offrant des services de phishing en Amérique du Nord avant de s’étendre au Royaume-Uni et en Irlande, puis dans le reste du monde.
Les cybercriminels pourraient s’inscrire au service pour 179 dollars par mois, selon une étude de Trend Micro. Le service de base offrait aux utilisateurs des dizaines de pages ciblant les institutions canadiennes, ainsi que trois pages de phishing actives. Un niveau d’adhésion premium, au prix de 249 dollars par mois, offrait un accès supplémentaire à des dizaines de pages Web ciblant les institutions américaines. Le niveau d’adhésion le plus élevé, pour 300 $ US par mois, proposait plus de 70 pages de phishing ciblant des organisations dans près de 30 pays.
Le service fournissait des pages de phishing pour plusieurs grandes banques canadiennes, américaines et internationales, le service de streaming musical Spotify, des services postaux, notamment DHL et la poste irlandaise, des compagnies d’assurance et des services de péage routier. Les utilisateurs peuvent également demander des pages de phishing sur mesure pour imiter les organisations cibles.
LabHost propose des modèles de phishing personnalisables que les clients peuvent utiliser pour demander des noms et adresses, des adresses e-mail, des dates de naissance, des réponses aux questions de sécurité standard, des numéros de carte, des mots de passe et des codes PIN.
Le service de phishing offrait également une assistance technique via un canal dédié sur le service de messagerie Telegram.
Enquête internationale
La police a commencé à enquêter sur LabHost en juin 2022 après avoir reçu des renseignements de la Cyber Defense Alliance, un groupe à but non lucratif regroupant des organisations de services financiers.
L’unité de cybercriminalité du Met a ensuite collaboré avec la National Crime Agency (NCA), la police de la ville de Londres, les unités régionales de lutte contre la criminalité organisée, Europol et les forces de police internationales.
Des sociétés de cybersécurité, notamment Chainalysis, Intel 471, Microsoft, The Shadowserver Foundation et Trend Micro, ont également participé à l’enquête.
L’enquête a révélé au moins 40 000 domaines de phishing liés à LabHost, qui comptait 10 000 utilisateurs dans le monde.
En Australie, la police a arrêté cinq personnes et mis hors service plus de 200 serveurs utilisés pour héberger des sites de phishing frauduleux créés par LabHost, après avoir exécuté 22 mandats de perquisition à travers le pays dans le cadre d’une opération impliquant plus de 200 agents. La branche australienne de l’opération, baptisée Operation Nebulae, a identifié plus de 100 suspects qui utilisent LabHost en Australie.
La police néerlandaise a arrêté cinq utilisateurs et perquisitionné six maisons, saisissant 100 voitures SIM et cinq armes à feu.
L’opération Met Police démontre les capacités du Royaume-Uni
Lynne Owens, commissaire adjointe du service de police métropolitain, a déclaré : « Les fraudeurs en ligne pensent qu’ils peuvent agir en toute impunité. Ils croient pouvoir se cacher derrière des identités numériques et des plateformes telles que LabHost et sont absolument convaincus que ces sites sont impénétrables par la police.
Adrian Searle, directeur du National Economic Crime Center à la NCA, a déclaré : « La fraude est un crime terrible qui a un impact financier et psychologique sur les victimes, sapant notre confiance collective dans les autres et dans les services en ligne sur lesquels nous comptons tous.
« Cette opération démontre une fois de plus que les forces de l’ordre britanniques ont la capacité et l’intention d’identifier, de perturber et de compromettre complètement les services criminels qui ciblent le Royaume-Uni à une échelle industrielle. »
Un porte-parole de la Cyber Defense Alliance a déclaré : « Le partenariat avec la Cyber Defense Alliance et les forces de l’ordre continue de se développer. Nous avons, une fois de plus, réussi ensemble à perturber une plateforme criminelle internationale majeure et à empêcher que davantage de personnes ne soient victimes de ces escroqueries.»