Une campagne de fraude à grande échelle avec plus de 700 noms de domaine cible probablement les utilisateurs russophones cherchant à acheter des billets pour les Jeux olympiques d’été à Paris.

L’opération propose de faux billets pour les Jeux Olympiques et semble profiter d’autres grands événements sportifs et musicaux.

Les chercheurs qui analysent la campagne l’appellent un vol de tickets et ont découvert que certains des domaines avaient été créés en 2022 et que l’auteur de la menace continuait d’en enregistrer en moyenne 20 nouveaux chaque mois.

Faux billets pour les Jeux Olympiques hors de prix
Fin 2023, les chercheurs de la société de renseignement sur les menaces QuoIntelligence ont remarqué une augmentation des conversations sur les Jeux Olympiques de Paris qui devraient débuter ce 26 juillet.

Parce que l’événement a toujours été utilisé pour l’influence géopolitique et la décision du Comité international olympique d’interdire la participation des athlètes russes et biélorusses sous le drapeau de leur pays, les chercheurs ont continué à surveiller le sujet et à rechercher des activités suspectes en ligne.

QuoIntelligence a gardé un œil sur des mots clés spécifiques (par exemple billet, Paris, réduction, offre) utilisés dans les domaines nouvellement enregistrés et a découvert l’opération Ticket Heist qui s’appuie sur 708 domaines hébergeant des sites Web convaincants prétendant vendre des billets valides et proposer des options d’hébergement pour les Jeux Olympiques de Paris.

Les premiers domaines de ce type découverts étaient ticket-paris24[.] com et billets-paris24[.] com, ce dernier étant un clone du premier.

“Malgré des fautes d’orthographe et de grammaire mineures, probablement dues à une traduction directe du russe vers l’anglais, le site Web et son expérience utilisateur étaient comparables à ceux d’un site haut de gamme  » – QuoIntelligence

L’interaction de l’utilisateur que les opérateurs de casse de billets ont créée pour les visiteurs semble légitime et encourage l’engagement avec le site et la sélection des billets.

Page de vol de billets pour de faux billets pour les Jeux Olympiques

Dans un rapport publié aujourd’hui, les chercheurs affirment que le même cadre d’interface utilisateur est présent sur tous les sites Web liés au vol de billets, seules des variations mineures du contenu et de la langue faisant la différence entre les sites Web frauduleux.

Outre la conception des sites Web, ce qui ressort dans le schéma, c’est le prix des faux billets proposés. QuoIntelligence note que les prix sont gonflés par rapport aux prix légitimes.

“Par exemple, un événement aléatoire et un emplacement de siège sur le site officiel pouvaient coûter moins de 100 euros, alors que les mêmes billets et emplacements sur les sites frauduleux coûtaient au minimum 300 euros, atteignant souvent 1 000 euros  » – QuoIntelligence

Andrei Moldovan, chercheur sur les menaces de QuoIntelligence, a déclaré à Breachtrace que, bien qu’il n’y ait aucune confirmation, les prix plus élevés pourraient faire partie d’une astuce pour faire croire aux victimes qu’elles obtiennent un “traitement premium” pour l’argent supplémentaire, car les billets ne sont pas disponibles via les canaux de distribution officiels.

Alternativement, un prix plus élevé pourrait également faire croire aux victimes qu’il s’agit d’une opération de scalping qui profite de la pénurie de billets.

Tout en essayant de tester leurs théories sur l’objectif du vol de billets et de recueillir des informations qui pourraient permettre de déterminer qui en est à l’origine, QuoIntelligence a tenté un achat sur l’un des sites Web frauduleux.

Ils ont constaté que toutes les transactions sont effectuées via la plate-forme de traitement des paiements Stripe et que l’argent n’est transféré que lorsque la carte dispose de fonds suffisants.

Cela signifie que l’objectif de l’opérateur n’est pas de collecter des informations de carte de crédit mais de voler de l’argent à la victime.

De plus, ce test a également révélé le nom de l’entreprise VIP Events Team LLC, qui a été créée le 26 novembre 2021, et est toujours active mais son site Web n’a jamais été indexé par les moteurs de recherche publics.

“Le domaine a été enregistré le jour même de la création de la société. Il n’y a aucune mention de VIP Events Team LLC sur Google, les réseaux sociaux, TrustPilot ou toute autre source OSINT disponible  » – QuoIntelligence

Les chercheurs disent que si la société semble être basée à New York, la section” contactez-nous  » sur ticket-paris24[.] com indique que la société derrière elle est située à Tbilissi, en Géorgie.

En analysant l’infrastructure derrière l’opération de vol de billets, les chercheurs ont découvert que tous les domaines frauduleux étaient hébergés à la même adresse IP, 179 [.]43[.]166[.] 54, l’appartenance à un fournisseur est liée à des activités malveillantes par plusieurs services.

Bien que chaque site Web dispose d’un certificat SSL unique, QuoIntelligence a remarqué un modèle dans la structure du domaine et des noms de sous-domaines uniques utilisés.

Ils ont observé que les sous-domaines incluaient souvent jswidget, widget-frame ou widget-api, qui, combinés aux enregistrements DNS et aux fichiers JavaScript courants, les aidaient à découvrir l’ensemble du réseau de 708 domaines.

Chaque mois, l’auteur de la menace a enregistré en moyenne 20 nouveaux domaines, mais en novembre dernier, le nombre a enregistré une augmentation significative avec la création de 50 nouveaux domaines.

Actuellement, 98% des domaines liés à Ticket Heist sont considérés comme exempts de logiciels malveillants par les services d’analyse participatifs, ce qui soutient la théorie selon laquelle l’objectif est de voler directement aux victimes via un service de paiement légitime.

Leurres événementiels et victimes
Les épreuves olympiques de Paris n’étaient pas les seuls leurres de l’opération Ticket Heist. Les fraudeurs ont également tenté d’attirer les victimes avec de faux billets pour le Championnat d’Europe de l’UEFA cette année.

QuoIntelligence a trouvé plusieurs sites Web en anglais proposant des billets pour l’événement de football.

Site web de vol de billets pour le Championnat UEFA EURO 24

De plus, les chercheurs ont découvert des sites Web dans cette activité frauduleuse qui prétendaient vendre des billets pour des concerts de musique mettant en vedette des groupes célèbres comme Twenty One Pilots, Iron Maiden, Metallica, Rammstein et des musiciens (Bruno Mars, Ludovico Einaudi).

Dans ces cas, les chercheurs disent que les faux billets étaient pour des concerts autour de Moscou et d’autres grandes villes de Russie.

Bien que ces pages soient en anglais, QuoIntelligence affirme que la plupart des sites Web de vols de billets étaient uniquement en russe, suggérant que les utilisateurs russophones étaient la principale cible de l’opération.

Un autre indicateur conduisant à cette conclusion est la présence de coordonnées utilisant des numéros de téléphone des services mobiles russes.

« De toute évidence, ce n’est pas une preuve à 100% que l’intention est de cibler les personnes russophones, mais de nombreux indicateurs et résultats pointent dans cette direction”, nous a dit Moldovan.

Des sites frauduleux prétendant vendre des billets pour les Jeux Olympiques de Paris ont déjà été signalés. La Gendarmerie nationale française a averti le mois dernier qu’elle avait trouvé 338 sites frauduleux, dont beaucoup hébergés à l’extérieur du pays.

Dans un autre rapport, la société de cybersécurité Proofpoint a alerté qu’un tel site Web était poussé dans les résultats des moteurs de recherche sponsorisés.

Sur Reddit, un utilisateur s’est plaint d’avoir été victime d’une arnaque après avoir tenté d’acheter un billet auprès de paris24tickets[.] com.

Bien que QuoIntelligence n’ait pas pu vérifier comment la transaction a été effectuée car le site Web n’est plus actif, Moldovan dit que sur la base des ressources archivées, le site Web était complètement différent en termes d’infrastructure d’hébergement, de configuration réseau et d’interface utilisateur.

Malgré ces exemples, QuoIntelligence affirme que l’opération de vol de billets est en cours et n’a pas été signalée dans la recherche publique, montrant que de multiples fraudeurs tentent de capitaliser sur les Jeux Olympiques cette année.

La société de renseignements sur les menaces fournit un ensemble d’indicateurs de compromission (IOC) pour l’opération Ticket Heist que la communauté de la cybersécurité peut utiliser pour protéger ses clients.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *