UK charges suspects linked to Russian Coms call spoofing platform

1 minute de lecture

Mis à jour :

Démantèlement de la plateforme de spoofing « Russian Coms »

Les autorités britanniques (NCA) ont inculpé cinq personnes basées à Londres pour leur implication dans la gestion de Russian Coms, une plateforme criminelle de usurpation d’identité d’appelant (caller ID spoofing). Opérationnelle depuis 2020, cette infrastructure permettait aux cybercriminels de masquer leur numéro réel par celui d’institutions de confiance (banques, police) pour tromper leurs victimes.

Points clés :

  • Impact : Plus de 1,8 million d’appels frauduleux passés vers 107 pays, causant des pertes financières se chiffrant en dizaines de millions de livres pour environ 170 000 victimes.
  • Modèle économique : Les criminels payaient entre 1 200 £ et 1 400 £ en cryptomonnaies pour des abonnements de six mois à des services incluant le spoofing, le changement de voix, le chiffrement et la suppression instantanée des données sur les appareils.
  • Méthodologie : Promotion via les réseaux sociaux (Telegram, Snapchat, Instagram) et utilisation de l’ingénierie sociale pour inciter les victimes à transférer leurs fonds vers des comptes contrôlés par les attaquants.
  • Opération policière : Le démantèlement fait suite à l’enquête internationale « Operation Henhouse », menée avec le soutien d’Europol.

Vulnérabilités exploitées : L’article ne mentionne pas de CVE spécifique, car il s’agit d’une plateforme de fraude par ingénierie sociale exploitant les failles intrinsèques du protocole téléphonique (CLI spoofing) plutôt que des vulnérabilités logicielles classiques.

Recommandations :

  • Méfiance systématique : Ne jamais divulguer d’informations personnelles ou transférer des fonds suite à un appel entrant, même si le numéro affiché semble provenir d’une institution officielle.
  • Vérification : En cas de doute, raccrochez et rappelez l’institution en utilisant un numéro vérifié et indépendant (trouvé sur leur site officiel ou le dos d’une carte bancaire).
  • Sensibilisation : Les organisations doivent éduquer leurs clients sur le fait que les institutions légitimes ne demandent jamais de transfert de fonds pour « protéger » un compte prétendument compromis.

Source