Des cybercriminels ont dupé l’Apple Store pendant deux ans. Pour siphonner les fonds de cartes de crédit volées en toute impunité, des pirates chinois ont mis en place un astucieux stratagème qui s’appuie sur une option proposée par Apple.
Gyuyeon Kim et Hyunho Cho, deux chercheurs en cybersécurité de l’Institut de sécurité financière de Corée du Sud, ont découvert une vaste opération criminelle impliquant l’Apple Store. Le duo a mené l’enquête pour comprendre le mode opératoire des pirates pendant plusieurs mois. Leurs conclusions ont été dévoilées lors d’une conférence organisée à la Black Hat Asia.
Phishing, carte de crédit et marché d’occasion
L’enquête débute dans le courant de l’automne 2022. Les chercheurs expliquent avoir identifié une vague de piratages « ciblant plus de 50 centres commerciaux en ligne ». Apparemment, les cybercriminels sont parvenus à manipuler les pages de paiement de ces magasins en ligne pour afficher des pages de phishing, ou hameçonnage en français. Ces pages étaient conçues pour s’emparer des données personnelles et des coordonnées bancaires des internautes. Les pirates visaient surtout les numéros de carte de crédit des acheteurs. Pour éviter que l’opération ne soit détectée par les administrateurs et les utilisateurs du site, les cybercriminels ont usé de « diverses stratégies ». Par ailleurs, plusieurs failles de sécurité ont été exploitées.
Une fois que les numéros de cartes de crédit ont été aspirés, les escrocs ont cherché le moyen de s’en servir sans risquer d’attirer l’attention des forces de l’ordre. Ils ont alors décidé de se pencher sur l’Apple Store. En exploitant le fonctionnement de la boutique en ligne, les pirates ont découvert le moyen de siphonner les fonds des cartes de crédit volées en toute impunité.
Pour commencer, les cybercriminels ont publié des annonces sur des magasins en ligne d’occasion en Corée du Sud. Celles-ci proposaient des produits Apple, comme des iPhone, des Apple Watch ou des AirPods, à des prix réduits. Attirés par les tarifs affichés, les internautes prenaient contact avec les pirates. Dès qu’un internaute effectuait un achat, les hackers se servaient du numéro de carte de crédit volé, et des données personnelles qui l’accompagnent, pour commander le produit en question sur l’Apple Store en ligne.
En passant commande, les cybercriminels cochaient l’option « someone-else pickup », soit « ramassage par quelqu’un d’autre » en français. Cette fonctionnalité permet à un tiers de récupérer une commande passée en ligne. L’individu chargé de ramasser le colis doit fournir une pièce d’identité et un numéro de commande au moment du retrait, explique Apple sur son site web :
« Si vous voulez qu’une autre personne passe prendre vos articles, sélectionnez Une autre personne récupérera ces articles. Pour récupérer vos articles à l’Apple Store, vous devrez présenter le numéro de la commande ainsi qu’une pièce d’identité valide avec photo délivrée par une instance gouvernementale. Si une autre personne désignée doit passer à votre place, elle devra fournir le numéro de commande et présenter une pièce d’identité valide avec photo délivrée par une instance gouvernementale ».
400 000 dollars en deux ans
Sans surprise, les pirates vont désigner l’acheteur comme le tiers chargé de récupérer la commande à l’Apple Store. Sans en avoir conscience, l’acheteur va aller chercher une commande réglée avec un numéro de carte de crédit volé. Après avoir récupéré le colis, celui-ci va régler sa commande par le biais de la plateforme de vente d’occasion. Tandis que l’acheteur prend tous les risques, les pirates vont disparaître avec l’argent obtenu. Comme le rapporte 9to5Mac, cette tactique a permis aux cybercriminels de s’emparer de plus de 400 000 dollars en l’espace de deux ans.
Selon les chercheurs, Apple a refusé « de coopérer en raison de réglementations internes ». Ce refus a fortement entravé l’enquête initiée par les forces de l’ordre sud-coréennes. Comme toujours, Apple se retranche derrière sa volonté de protéger la vie privée des acheteurs. Les experts à l’origine de l’étude estiment que les cybercriminels derrière l’opération sont basés en Chine. Les « attaques sont toujours en cours » et les pirates « explorent continuellement de nouvelles cibles », mettent en garde les chercheurs.
source : 01net