Ceux qui voulaient viser les frères Winklevoss
Bien avant le détroussage de Josh Jones, une petite bande s’est spécialisée dans le SIM-swapping. Elle s'appelait “The Community”.
Bonsoir,
Bienvenue pour la suite de cet épisode de Pwned, votre newsletter sur le cybercrime, sur ce méga hold-up crypto à une quarantaine de millions de dollars dont j’ai commencé à vous parler la semaine dernière.
Mais tout d’abord, si vous n’êtes pas inscrit, voici le lien pour recevoir directement dans votre boîte mail les prochaines histoires. Et si l’histoire vous a plu, vous savez ce qu’il faut faire, vous pouvez liker la publication ou la partager autour de vous.
Résumons la situation: quelques semaines avant le basculement de la planète dans la pandémie du Covid-19, il y a donc eu un hold-up monumental de crypto dont a été victime Josh Jones, l’équivalent de plusieurs dizaines de millions de dollars (retrouvez ici l’épisode de la semaine dernière).
Regardons précisément ce qu’il s’est passé lors de ce vol qui s’est appuyé sur du sim-swapping. C’est une technique d’ingénierie sociale qui consiste à prendre le contrôle d’un numéro de téléphone portable en prétextant auprès de l’opérateur un problème avec sa carte sim.
Comme l’a décrypté Zachxbt - un internaute spécialiste de la blockchain qui scrute attentivement les différentes blockchains pour traquer arnaques ou piratages - les bitcoins cash ont aussitôt été envoyés par fractions vers deux plateformes d’échange. Quant aux bitcoins, ils ont été blanchis à travers deux mixeurs, ces services qui tentent de brouiller la traçabilité intrinsèque à la blockchain, Chip Mixer et Crypto Mixer.
Ce genre de schéma - une attaque par SIM-swapping, suivie d’un braquage de crypto et d’un lessivage des fonds volés - n’a rien d’inédit. D’ailleurs, une poignée de pirates informatiques se sont spécialisés là-dedans. Cette bande s’appelle “The Community” et elle a fait le miel du journaliste Brian Krebs. Sur son blog, cet américain spécialiste de la cybercriminalité avait narré avec gourmandise les tribulations douteuses de ses membres.
En cette année 2018, cela fait quelques mois que des enquêteurs sont sur les traces de “The Community”. Pour eux, tout commence en février 2018 par le coup de fil d'une mère inquiète aux policiers de Canton, une ville moyenne du Michigan. Celle-ci a réalisé que son fils se faisait passer au téléphone pour un employé d’une compagnie de téléphone. Les policiers eux aussi trouvent cela étonnant.
En fouinant dans la maison, ils tombent sur quatre téléphones, plusieurs cartes SIM, et dans l’ordinateur de l’adolescent, une longue liste de noms et de numéros de téléphones de personnes d'un peu partout dans le monde. Ils remarquent également un échange de messages sur les moyens de frauder l'opérateur AT&T.
Assurément, le fils de la dame a un profil intéressant. Les policiers le placent sous surveillance. A peine un mois plus tard, les policiers le reprennent la main dans le sac. Voku, c’est son surnom, aurait tenté de faire main basse sur des données personnelles dans une bibliothèque. Cette fois-ci, les policiers saisissent 45 cartes SIM, un ordinateur et une clé Trezor, un moyen sécurisé de garder sur soi des cryptos.
Les enquêteurs reviennent encore quelques semaines plus tard chez l’ado. La maman inquiète vient de mettre la main sur un nouveau téléphone mobile, ce qui n'augure rien de bon. Une nouvelle fois, les policiers trouvent de nombreuses cartes SIM, un téléphone et des faux documents sur son ordinateur, des permis de conduire et des passeports.
Les enquêteurs creusent cette piste des documents d’identité. Effectivement, c’est ce qu’il fallait faire. Ils remontent ainsi le fil de sept personnes ayant été victimes d'usurpation d'identité, avec à la clé des vols pour des centaines de milliers de dollars.
L'un des plaignants explique par exemple avoir perdu le contrôle de son téléphone et de sa messagerie avant de voir qu'environ 50 000 dollars avaient disparu de son compte crypto Gemini. Une autre s'est fait pirater son téléphone et a perdu le contrôle d'un compte contrôlant environ 150 000 dollars.
Les policiers comprennent enfin de quoi il s’agit : ce sont des vols de plusieurs dizaines, voire centaines de milliers de dollars en crypto-monnaies grâce à la technique du SIM-swapping. Ce business illégal a rapporté gros à Voku. Les enquêteurs retrouvent l'équivalent de 200 000 dollars en crypto sur ses terminaux.
Ils ont désormais assez d'éléments pour cuisiner l'adolescent dans une bien mauvaise position. Voku n'a pas envie de prendre pour les autres. Alors, il se met à table. Ses confidences amènent les policiers directement vers “@coinmission”.
Il n’y a d’ailleurs qu’à suivre les discussions en ligne sur le serveur Discord de “The Community”. “@coinmission” s’appelle visiblement “Ricky”, puisqu’il répond sur le forum quand on l’interpelle par ce prénom. Il a également gagné beaucoup d’argent, puisqu’il a pu s’acheter un terrain, une maison et un quad.
Les policiers s’efforcent de mettre un nom et une photo. Ricky Handschumacher vit en Floride, selon une réponse de la plateforme d'échange Coinbase à une réquisition judiciaire. Une autre réquisition judiciaire auprès de Discord permet également d'en savoir plus sur la nouvelle cible du groupe.
Waouh, c’est vraiment un gros poisson ! Il s’agit de Tyler Winklevoss, le patron de la plateforme Gemini. C'est l’un des deux frères Winklevoss, ces jumeaux un peu rapaces rendus célèbres pour avoir été évincés de Facebook par Matt Zuckerberg avant finalement de faire fortune dans la crypto.
On sait qu’il est visé car des informations cruciales pour ce genre d’attaque d’ingénierie sociale sont partagées sur le serveur, comme sa date de naissance, son pseudo Skype, ou encore son adresse email.
Pour prendre la main sur le téléphone de Tyler Winklevoss, Ricky Handschumacher glisse une confidence intéressante. Il va appeler "son mec à T-Mobile". C'est assez énorme. Non seulement “The Community” maîtrise le SIM-swapping, mais le groupe s’appuie également sur des employés véreux d’opérateurs de téléphonie mobile.
Il est plus que temps de mettre le holà à la petite bande. En juillet 2018, la police embarque Ricky Handschumacher avant de mettre en examen huit autres membres de “The Community”, âgés de 19 à 28 ans.
Sauf Voku, qui échappe aux poursuites grâce à ses bonnes infos. Deux ans plus tard, ils sont tous condamnés pour des vols qui se montent, estime la justice américaine, à près d'une dizaine de millions de dollars.
A ce stade de l’histoire, vous avez compris que ce ne sont pas eux qui ont détroussé Josh Jones. Ils ont été arrêtés bien avant. Il faudrait être fou - mais ça arrive - pour remettre le couvert alors qu’ils sont grillés.
Toutefois, je trouve que cette petite bande est assez emblématique des folles années du SIM-swapping, quand des digital natives ont cru qu’ils pourraient toucher le gros lot avec cette technique dont leurs aieux peinaient à prendre la mesure.
On peut également estimer qu’ils ont servi de mauvais modèle à pas mal de monde. Et vous savez quoi? L’un des deux pirates qui a dépouillé Josh Jones connaissait effectivement plusieurs membres de “The Community”. Le monde du sim-swapping est si petit.
On en parle la semaine prochaine,
Bonne soirée,
Relecture: Mnyo
PS: Si vous voulez me payer un café, c’est par ici (bc1qhx49fpxcnlpe35z4z2j4wmrazpvz7a3ejm4rex).
Sources
Cryptodétectives : des entreprises spécialisées aux amateurs, ils remontent la blockchain
Nine Charged in Alleged SIM Swapping Ring
Pasco County Complaint Affidavit
Florida man arrested in alleged multi-state SIM card hacking ring