La police ferme Genesis Market, le « supermarché des cybercriminels »

Genesis Market, la plate-forme considérée comme le grand supermarché des escrocs et des pirates, vient d’être démantelée par le FBI. Les cybercriminels viennent de perdre un immense atout pour la fraude en ligne…

Épaulé par plusieurs forces de police, le FBI a mené une opération coup de poing à l’encontre de Genesis Market ce 4 avril 2023. Au terme de l’opération, baptisée « Cookie Monster » en référence aux données vendues sur la plate-forme, les agents fédéraux ont saisi tous les noms de domaine du forum, très populaire auprès des criminels.

« Ces saisies ont été possibles grâce à la coordination internationale des forces de l’ordre et du secteur privé », détaille le FBI, qui précise avoir reçu l’aide de la police d’Australie, du Canada, d’Allemagne, de Pologne, de Suède et de l’Union européenne, Europol.

Un avis de saisie, demandant aux internautes de contacter le FBI s’ils disposent d’informations sur les administrateurs et leurs activités, est apparu sur le site web dans la foulée. Apparemment, les propriétaires n’ont pas encore été interpellés par les autorités. Néanmoins, la chute du forum s’est accompagnée d’une série d’arrestations, révèle Europol dans un communiqué de presse :

« Des actions simultanées ont également été menées à travers le monde contre les utilisateurs de cette plate-forme, ce qui a entraîné 119 arrestations, 208 perquisitions de biens et 97 mesures de frappe ».

Interrogé par nos confrères de CNBC, Matthew Gracey-McMinn, chercheur en sécurité informatique chez Netacea, affirme que l’opération a porté un grand coup à la criminalité en ligne. Genesis Market était en effet considéré comme un « gros poisson » par les forces de l’ordre. La plate-forme totalisait plus de 1,5 million d’inscriptions, note Europol.

À lire aussi : attention, les ransomwares sont devenus impitoyables

La spécialité de Genesis Market

Actif depuis 2017, Genesis Market permettait aux cybercriminels de vendre ou d’acheter des bots numériques. Ces programmes informatiques utilisent des données volées, comme les adresses IP, les cookies de session, les informations sur le système d’exploitation et les plug-ins, pour se faire passer pour une internaute sur une plate-forme. Grâce à ces précieuses données, souvent obtenues par le biais de malwares, les cybercriminels peuvent accéder à un compte en ligne sans déclencher un avertissement de sécurité.

La plupart des services en ligne, comme Netflix, Amazon, PayPal ou encore Dropbox, se servent en effet de ces données pour protéger leurs utilisateurs contre la fraude. Lors d’une connexion, la plate-forme utilise ces informations pour vérifier que c’est bien le détenteur du compte qui cherche à se connecter. Si certaines informations sont inhabituelles, comme une nouvelle adresse IP, une localisation ou un navigateur web différent, la plate-forme peut choisir d’envoyer un code de sécurité à l’internaute, et de bloquer temporairement l’accès.

Avec les bots numériques, les attaquants peuvent contourner ces mécanismes antifraudes et se connecter à un compte en ligne… ou un compte bancaire. Les vendeurs de Genesis Market étaient en effet parvenus à outrepasser les technologies antifraudes utilisées par des centaines de banques et de systèmes de paiement dans le monde. C’est pourquoi Genesis Market était devenu une place de marché incontournable. Selon une enquête de Sophos, le marché noir se distinguait aussi par une formule d’abonnement, qui facilite la tâche des escrocs avec peu de bagages techniques, et une interface bien conçue.

La plate-forme fournissait « non seulement les données elles-mêmes, mais aussi des outils bien entretenus pour faciliter son utilisation », explique Sophos.

Pour faire fonctionner les bots, Genesis Market mettait en effet à disposition des escrocs un navigateur web dédié, Genesis Security. Celui-ci permettait au bot de charger les informations destinées à tromper la vigilance des plates-formes. Grâce à cette astuce, de nombreux escrocs ont pu piéger des internautes, usurper leur identité et voler leur argent ou leurs données privées.

« Le retrait de Genesis Market était une priorité pour les forces de l’ordre compte tenu de la capacité de la plate-forme à faciliter tous les types de cybercriminalité », souligne Europol, estimant que l’écosystème criminel a été « gravement perturbé ».

Des millions de dollars de transactions illégales

D’après un rapport publié par les chercheurs de Netacea, Genesis Market comptait « des centaines de milliers de bots » différents. Dans le détail, les experts avaient identifié plus de 350 000 bots en vente sur le forum en 2021. La plate-forme, accessible uniquement sur invitation, représentait « des millions de dollars de transactions illégales ».

« C’est un grand coup porté contre la fraude à l’identité », avance Matthew Gracey-McMinn.

Aux dires du chercheur, les vendeurs présents sur Genesis Market proposaient des logiciels de qualité, autour des 450 dollars, et des bots moins sophistiqués, valant seulement de 0,70 à cinq dollars. Évidemment, les logiciels les plus coûteux rapportaient davantage aux cybercriminels. Hormis les banques, on trouve des services comme Gmail, Facebook, Netflix, Spotify, WordPress, PayPal, Reddit, Amazon, LinkedIn, Cloudflare, Twitter, Zoom et eBay parmi les cibles privilégiées des bots.

Selon Europol, « y a de fortes chances que vos informations d’identification aient déjà été mises en vente » sur Genesis Market. Pour en avoir le cœur net, les forces de l’ordre recommandent de se servir d’un portail mis à disposition par la police néerlandaise. Celui-ci permet de découvrir en quelques clics si votre adresse mail est liée à certaines des données retrouvées sur le forum. Si c’est le cas, la police vous préviendra par courriel. Il faudra alors scanner vos appareils avec un antivirus, changer vos identifiants et prévenir tous les services essentiels potentiellement affectés, comme votre banque.

La guerre contre les cybercriminels

L’opération contre Genesis Market fait suite au démantèlement de plusieurs plates-formes prisées par les cybercriminels au cours des derniers mois. L’an dernier, la place de marché russophone « Hydra Market », qui vendait à la fois des stupéfiants et des faux papiers, a été fermée par la police fédérale allemande.

Peu après, Raidforums, le supermarché des données volées, est également tombé, suivi par SSNDOB Marketplace, un autre marché noir de données. Plus récemment, BreachForums, aussi appelé « Breached », le plus important site de vente de données volées au monde, a été clôturé suite à l’arrestation de son fondateur, Conor Brian Fitzpatrick, alias « Pompompurin ». L’interpellation du pirate a poussé son complice à fermer les portes du forum, redoutant une intervention du FBI.

Source : CNBC