United Tunisian Scammers : qui se cache derrière les phishings de l’Assurance Maladie ?

United Tunisian Scammers : Depuis plusieurs semaines, un groupe de pirates informatiques tunisiens s’attaque aux utilisateurs de l’Assurance Maladie. Explication.

United Tunisian Scammers, des pros du phishing ! Vous avez très certainement vu passer leur courriel dans votre boite aux lettres électroniques. Un phishing aux couleurs de l’Assurance Maladie. Ce courrier est « très propre ». Les malveillants exploitent un kit de 2018. Le fraudeur vous indique un remboursement de frais : « Votre caisse d’assurance maladie vous informe que vous êtes admissible à recevoir un montant 187.95€« . Le montant change selon les courriels. Bref, jusqu’ici, rien de nouveau !

Pour attirer l’internautes, le courriel explique qu’il va falloir « mettre à jour vos données pour que votre remboursement soit effectué dans les plus brefs délais. » Les pirates, comme dans tous les hameçonnages de la planète, incitent à cliquer sur un lien. Il dirigera le lecteur sur la fausse page de l’Assurance Maladie.

La page de filoutage réclame identité, date de naissance, numéro de téléphone, informations sur la carte bancaire. Bien entendu, vous ne fournissez rien !

United Tunisian Scammers versus Ameli

Qui se cache derrière ces tentatives de vol de données ? Un groupe de pirates informatiques du nom de United Tunisian Scammers. Des tunisiens qui écument les sites WordPress/Joomla/SPIP/… dont les extensions ne sont pas mises à jour. Ils sont Friands aussi d’automatisation d’attaque. Mission, trouver les mots de passe par brute force. Traduisez, en tentant de récupérer le password via un outil pirate qui égrainera, une par une, les possibilités jusqu’à trouver le précieux sésame.

Pour cette nouvelle attaque lancée le 25 avril 2019, ZATAZ a référencé 95 sites infiltrés. Ces « victimes » n’hébergent pas la fausse page de l’Assurance Maladie. Les portails (yesterhere*com, eco-power.com*au, xsph*ru, …) ont pour mission de servir de rebond. URLS redirigeant vers plusieurs autres sites qui, eux-mêmes, se connectent vers la page usurpatrice. De multiples redirections ayant pour but de noyer le poisson et espérer piéger les logiciels antispams.

La page pirate est cachée chez des hébergeurs offrant des espaces gratuits. Les pirates n’hésitent pas à payer des hébergements avec des données bancaires piratées.

Derrière cette équipe de pirates de la « United Tunisian Scammers« , la tête pensante, comprenez, celle qui collecte les informations. Il reçoit les données volées sur une adresse Gmail : nihalmylove**@gmail.com. (étoiles rajoutées par mes soins). Un pirate facilement repérable, dont le numéro de téléphone (Un Samsung Galaxy S2) se termine par 50 ; son second mail, toujours chez Google, débute par « Mou ».

Que font-ils des données ?

En ce qui concerne les données bancaires, pas besoin de réfléchir longtemps. Utilisation pour des achats rapides (matériels high-techs, hébergements …) qui pourront être revendus. Une manière de blanchir l’argent. La revente des informations personnelles (id, mail, téléphone…) dans le black market.

Le numéro de téléphone, par exemple, finira dans les mains d’un call center de Tunis qui vous appellera, quelques jours plus tard, pour vous proposer « d’isoler votre maison pour 1€ » ou d’utiliser un logiciel pour faire du « trading de cryptomonnaie facile et rémunérateur ». Impossible de savoir si cette entreprise sait d’où proviennent les numéros de téléphone. en attendant, elle ne se gêne pas pour s’en servir !

Comment suis-je aussi affirmatif ? J’ai répondu à ce phishing en fournissant un numéro de téléphone créé spécialement pour l’occasion avec l’application OnOff. 48h plus tard, on me téléphonait, sur cette ligne téléphonique, pour me vendre un logiciel dédié au trading, puis l’isolation de mon domicile !