Google a intenté une action civile aux États-Unis contre un groupe de cybercriminels chinois présumés liés au réseau de phishing Darcula, accusant l’organisation de mener un stratagème de fraude qui a envoyé des millions de messages texte frauduleux aux utilisateurs de téléphones mobiles aux États-Unis cette année. Cette action en justice est la deuxième du genre intentée par la société en un mois, à la suite d’une plainte similaire contre un autre groupe appelé Lighthouse.
La plainte, déposée devant un tribunal civil fédéral à Manhattan, allègue que Darcula fonctionne comme une plateforme de phishing en tant que service qui vend des logiciels permettant aux utilisateurs ayant des compétences techniques limitées d’envoyer à grande échelle des messages texte de phishing. Le logiciel proposé par le réseau, appelé « Magic Cat », permet aux acheteurs de se faire passer pour des organisations telles que l’Internal Revenue Service ou le US Postal Service et d’envoyer de grands volumes de textos de phishing, incluant des liens vers des sites web contrefaits.
Selon la plainte, les destinataires de ces textos ont été incités à cliquer sur des liens vers des sites frauduleux où ils ont été incités à saisir des informations personnelles et financières. Une fois que les victimes ont fourni les informations de carte bancaire, la plainte affirme que les mêmes criminels ayant acheté l’outil Magic Cat ciblaient fréquemment ces individus et utilisaient ou vendaient les informations volées.
L’identité de la plupart des personnes nommées dans le procès reste inconnue. Le dépôt identifie un prévenu nommément, Yucheng Chang, que Google accuse d’être le chef de l’entreprise criminelle. Vingt-quatre autres prévenus nommés dans la plainte ne sont pas nommés dans la plainte accessible au public. Le dépôt demande l’autorité de prendre le contrôle des sites web utilisés dans la campagne de phishing visant à perturber l’infrastructure soutenant l’activité illégale.
Les documents judiciaires de Google indiquent que la dernière version du logiciel Darcula inclut des outils d’intelligence artificielle conçus pour générer des versions fausses et convaincantes de sites web légitimes en quelques minutes. Ces capacités élargiraient apparemment la portée et l’efficacité des campagnes de phishing en simplifiant la création de pages trompeuses imitant des services de confiance.
L’entreprise estime que le réseau Darcula et ses associés ont volé près de 900 000 numéros de cartes de crédit, dont près de 40 000 à des particuliers aux États-Unis. Google a déclaré avoir reçu plus de 5 000 plaintes concernant des messages texte frauduleux de septembre à novembre.
Des experts juridiques et des observateurs en cybersécurité ont noté que la suppression de l’infrastructure pour de tels dispositifs est difficile, car les opérations du réseau s’étendent sur plusieurs juridictions, souvent dans des régions qui ne coopèrent pas régulièrement avec les forces de l’ordre américaines. L’action en justice de Google vise à obtenir des ordonnances judiciaires permettant à l’entreprise de prendre le contrôle des noms de domaine et autres actifs utilisés pour héberger ou distribuer le contenu de phishing.
La plateforme Darcula est considérée comme faisant partie d’un ensemble plus large de réseaux de phishing qui utilisent Rich Communication Services et d’autres protocoles de messagerie pour échapper à la détection et atteindre les utilisateurs avec un volume élevé de messages frauduleux. Ces réseaux exploitent des centaines de noms de domaine contrefaits pour se faire passer pour des marques et organisations légitimes. Des analyses de sources externes indiquent que des plateformes similaires ont été utilisées pour cibler des utilisateurs dans plus de 100 pays et que l’infrastructure sous-jacente a été liée à un vol de données et à une fraude importants sur de longues périodes.
Le procès met en lumière les préoccupations persistantes des entreprises technologiques et des professionnels de la cybersécurité concernant la prolifération de modèles de phishing en tant que service, qui abattent les barrières techniques pour les criminels et élargissent l’ampleur des campagnes frauduleuses. Les actions juridiques telles que celle de Google visent à perturber ces opérations et à donner aux entités du secteur privé des outils pour agir contre les infrastructures malveillantes lorsque la coopération traditionnelle des forces de l’ordre est limitée.
Les activités de Darcula et l’écosystème plus large du phishing restent sous l’examen des analystes et des régulateurs. Les efforts pour démanteler ces réseaux impliquent non seulement des litiges, mais aussi une coopération avec les fournisseurs d’accès à Internet, les registraires de domaines et les forces de l’ordre internationales afin d’atténuer les préjudices aux consommateurs et aux organisations dans le monde entier.