Principale conclusion
-
Les Spoofers sont principalement des loueurs d’infrastructures. Ils développent l’outil et ensuite préparent des « places » payantes pour les autres utilisateurs.
-
Ils jouissent d’une position dominante surtout grâce à la différence de connaissance technique entre les fraudeurs, qui ne savent pas tous développer l’infrastructure nécessaire à modifier un numéro de téléphone lors d’appels.
-
Les Spoofers se basent sur des outils déjà existant sur le marché légal ou open source qu’ils détournent en créant un marché parallèle.
- La « faille » technique permettant de modifier son numéro vient du protocole SIP qui permet de gérer à un certain niveau les détails des appels, et de l’interconnexion entre réseaux « nouveaux » et « anciens » qui complique le contrôle apposé par les opérateurs.
Introduction
Notre Analyste CTI Adrien a pu observer que plusieurs individus, sous couvert de comptes Telegram, affirment user, développer et louer des services permettant d’usurper des numéros de téléphones, qu’ils nomment Spoofers. C’est grâce à ces individus que les “alloteurs“, qui se font passer pour des conseillers bancaires, peuvent appeler sous couvert d’un numéro pourtant bien légitime. Evoqués dans les différents papiers sur le sujet, les alloteurs ont été analysés déjà à plusieurs reprises. Le youtubeur Micode a par exemple publié une vidéo le 30 mai 2023 illustrant son immersion dans ce milieu, où l’on y observe les codes et les comportements de ces individus. L’environnement du Dark Web et ce type d’attaque évoquent une nébuleuse : floue, en constant changement, de multiples acteurs, usant de divers pseudonymes, et d’un jargon dédié ; il est difficile d’établir un portrait général et fixe, tant les techniques et les acteurs varient
Services CTI d’Intrinsec
Les organisations sont confrontées à une augmentation de la sophistication des acteurs de la menace et des tentatives d’intrusion. Pour faire face à ces menaces en constante évolution, il est désormais nécessaire d’adopter une approche proactive dans la détection et l’analyse de tout élément jugé malveillant. Une telle approche pratique permet aux entreprises d’anticiper, ou du moins de réagir le plus rapidement possible aux compromissions auxquelles elles sont confrontées.
Pour ce rapport, Intrinsec s’est appuyé sur son service de Cyber Threat Intelligence, qui fournit à ses clients une intelligence à forte valeur ajoutée, contextualisée et exploitable pour comprendre et contenir les cybermenaces. Notre équipe CTI consolide les données et informations recueillies à partir de nos services de surveillance de la sécurité (SOC, MDR…), de notre équipe de réponse aux incidents (CERT-Intrinsec) et de renseignements cyber personnalisés générés par nos analystes grâce à des heuristiques sur mesure, des honeypots, du hunting, du reverse-engineering et des pivots.
Intrinsec propose également divers services autour du Cyber Threat Intelligence :
- Anticipation des risques : qui peut être exploité pour adapter en continu les capacités de détection et de réponse des outils existants de nos clients (EDR, XDR, SIEM, …) grâce à :
-
- un flux opérationnel d’IOCs basé sur nos activités exclusives.
- des notes et rapports de threat intelligence conformes aux normes TIP.
-
- Surveillance des risques numériques :
-
- détection et remédiation des fuites de données.
- surveillance de la sécurité des actifs externes (EASM).
- protection de la marque.
-
Pour plus d’informations, rendez-vous sur www.intrinsec.com/en/cyber-threat-intelligence/.
