Hameçonnage par texto L’A25 comme appât, un système russe comme allié

PHOTO JOSIE DESMARAIS, LA PRESSE

Des messages textes frauduleux circulent pour exiger de Québécois le règlement de « frais impayée » (sic) après l’utilisation du pont à péage de l’A25.

Une vague de messages textes malveillants qui déferle sur le Québec est liée à une infrastructure russe responsable de nombreuses attaques et opérations d’hameçonnage partout dans le monde dans les dernières semaines, a constaté La Presse.

Mis à jour le 9 février

Charles-Éric Blais-Poulin Équipe d’enquête, La Presse

Dans les derniers jours, de nombreux Québécois ont reçu des textos sur leur téléphone cellulaire exigeant le paiement d’une contravention pour excès de vitesse.

« Un radar a détecté que votre véhicule circulait à 56 km/h dans une zone scolaire limitée à 30 km/h », indiquent les messages en provenance de différents numéros de téléphone bidon. « Veuillez régler cette infraction avant le 4 février 2024 afin d’éviter des frais de retard excessifs. »

Les liens sur lesquels on est invité à cliquer conduisent à des pages qui reprennent en tous points l’environnement graphique du site web du ministère de la Justice du Québec. Des coordonnées personnelles et des informations bancaires y sont demandées ; celles-ci pourront ensuite être vendues dans le web clandestin (dark web) ou utilisées pour réaliser des transactions courantes.

Cette technique d’hameçonnage (phishing) par texto (smishing) a le vent dans les voiles, notamment en raison de la facilité avec laquelle les fraudeurs de partout dans le monde peuvent opérer sans être inquiétés par les autorités.

« Il n’y a pas nécessairement plus de tentatives, mais elles sont plus ciblées », explique Fyscillia Ream, coordonnatrice scientifique à la Chaire de recherche en prévention de la cybercriminalité. Et les fraudeurs, note-t-elle, sont plus réactifs à l’actualité. Elle cite par exemple l’envoi massif de textos frauduleux après une panne d’Hydro-Québec causée par une tempête de verglas en avril dernier.

Vendredi dernier, le ministère de la Justice a tenu à rappeler par communiqué qu’il ne joignait jamais le public par texto. Il « demande aux citoyennes et citoyens qui reçoivent un tel message de n’ouvrir aucune pièce jointe, de ne cliquer sur aucun hyperlien, de ne transmettre aucune information personnelle et de supprimer le message ».

Depuis le mois de décembre, des messages circulent en outre pour exiger de Québécois le règlement d’un « frais impayée » (sic) après l’utilisation du pont Olivier-Charbonneau (pont à péage de l’A25).

Là encore, la plateforme du gestionnaire est reproduite à l’identique. « C’est à s’y méprendre », lance Sylvie Godin, porte-parole de Transurban, entreprise australienne qui gère l’autoroute et le pont par l’entremise de la société Concession A25. « Les imitations de logos et de sites web, c’est ce qui est bouleversant. »

Exemples de sites internet frauduleux

CAPTURE D’ÉCRAN LA PRESSE

Les liens inclus dans les textos frauduleux conduisent à des pages qui reprennent en tous points l’environnement graphique des sites légitimes, comme celui du pont à péage de l’A25.
CAPTURE D’ÉCRAN LA PRESSE

Les liens inclus dans les textos frauduleux conduisent à des pages qui reprennent en tous points l’environnement graphique des sites légitimes, comme celui du pont à péage de l’A25.
CAPTURE D’ÉCRAN LA PRESSE

Des textos conduisent aussi à un site imitant celui du ministère de la Justice du Québec.
CAPTURE D’ÉCRAN LA PRESSE

Des textos conduisent aussi à un site imitant celui du ministère de la Justice du Québec.

1/4

M^meGodin tient à préciser que la réception de textos malveillants par des usagers du lien routier n’est aucunement liée à une brèche informatique dans les systèmes de Transurban. Elle explique aussi que l’entreprise ne communique pas au moyen de la messagerie texte.

Paradis pour les pirates

Les URL incluses dans les textos récents faussement attribués à Concession A25 ou au ministère de la Justice ont en commun une même adresse IP hébergée par l’entreprise Prospero, située en Russie. Des centaines de sites frauduleux en émanent, imitant notamment l’identité de services comme Netflix, Amazon et Spotify.

L’infrastructure en cause : le système autonome russe AS200593, au cœur de cybermenaces contre des organisations mondiales. « Un système autonome est comme un grand quartier sur l’internet avec ses propres règles et méthodes de gestion du trafic », explique Adam Lopez, expert de la firme américaine de sécurité informatique HYAS.

L’entreprise de San Francisco a neutralisé au moins une fraude au faux technicien – le fraudeur se faisait passer pour un employé afin d’installer un logiciel malveillant dans les appareils de « collègues » d’une banque mondiale – exploitant l’infrastructure AS200593.

Des fraudeurs ont récemment inscrit dans ce « quartier » russe une multitude de noms de domaine pour piéger les Québécois.

« Ils sont enregistrés en grand nombre car leur utilisation est généralement de courte durée », précise David Brundson, ingénieur en sécurité et « pirate éthique » chez HYAS.

Sites frauduleux partageant l’infrastructure AS200593*

servicefacture-quebec.com
paimentqc-infraction.com
qc-amendeservice.com
qcinfraction.com

a25site.com
a25service.com
a25qc-paiement.com
a25pont-payment.com
a25can.com
a25cafacture.com
a25ca-site.com
a25ca-facture.com
a25-supports.com
a25-servicefacture.com
a25-pontpayent.com
a25-pontpayants.com
a25-facture.com
a25-aide.com
a-25pont.com
a25caweb.com
a25facturation.com
ponta25-webpaiement.com
a25-facture-enligne1.com
a25-express.com
payment-a25.com
a25fac.com
a25web.com
a25-webclient.com
a25sitefacture.com

* Selon le site d’analyse web urlscan.io

Des pirates russes connaissent-ils donc le pont Olivier-Charbonneau, entre Montréal et Laval ?

« Les fraudeurs peuvent utiliser des serveurs mandataires inverses [reverse proxys] et des services VPN pour masquer leur véritable emplacement, en donnant l’impression qu’ils se trouvent en Russie alors qu’ils pourraient opérer à partir de n’importe quel endroit dans le monde », explique M. Lopez.

L’entreprise russe Prospero, derrière le système autonome AS200593, « semble être un service pare-balles [bulletproof hosting, type d’hébergement web qui échappe aux autorités], un facteur clé pour permettre la fraude », ajoute M. Brundson. « Toute société d’hébergement digne de confiance a intérêt à éliminer les sites malveillants de sa plateforme, sous peine de voir sa responsabilité engagée. »

Le système AS200593 héberge aussi des simulacres de sites d’organisations canadiennes comme Postes Canada, l’autoroute à péage 407 ETR à Toronto ou la Ville de Vancouver.

CAPTURE D’ÉCRAN LA PRESSE

Avertissement de Google signalant un site frauduleux

Selon l’équipe de cybersécurité de Google, le Threat Analysis Group (TAG), les tentatives d’hameçonnage en provenance de la Russie contre des citoyens de pays membres de l’OTAN ont triplé de 2020 à 2022, année marquée par l’invasion de l’Ukraine.

Le climat politique est un facteur important. De nombreuses campagnes de fraude importantes proviennent d’endroits où les forces de l’ordre locales ne tiennent pas compte des plaintes émanant d’autres pays.

David Brundson, ingénieur en sécurité et « pirate éthique » chez HYAS

Dans son essai This Is How They Tell Me the World Ends : The Cyberweapons Arms Race, la journaliste américaine Nicole Perlroth souligne que Vladimir Poutine a instauré seulement deux règles en matière de piratage : « ne pas mener d’attaque au sein de la mère patrie » et « répondre aux demandes du Kremlin ».

Des attaques clés en main

Mener des opérations de phishing anonyme comme celles qui ont cours actuellement au Québec est un jeu d’enfant partout dans le monde. Nul besoin d’avoir des connaissances informatiques ou des équipements avancés.

Sur la plateforme de messagerie Telegram, créée en Russie et établie à Dubaï, de nombreux usagers offrent des ensembles d’hameçonnage clés en main. Vantant ses trois années d’expérience, un codeur propose pour un seul prix la conception de la page d’accueil, l’hébergement web, l’inscription du nom de domaine ainsi que des instructions de démarrage.

Des trousses « prêtes à l’emploi » vendues de 40 à 150 $ montrent des interfaces factices du réseau social Snapchat, du géant des télécommunications T-Mobile, du service de livraison UPS ou encore de l’entreprise de lutte WWE.

CAPTURE D’ÉCRAN LA PRESSE

Des codeurs proposent sur Telegram des opérations d’hameçonnage clés en main. Les fraudeurs peuvent faire des demandes précises ou choisir parmi une liste d'entreprises dont les pages de connexion ou de paiement qui recueillent des informations sensibles ont été clonées. Ci-dessus, un usager présente sa grille tarifaire.
CAPTURE D’ÉCRAN LA PRESSE

Un pirate montre sur Telegram les renseignements qui peuvent être recueillis par les fraudeurs qui paieront 100 $ pour obtenir une imitation de la page web du service de livraison UPS.

1/2

Selon les forfaits, le pirate promet aux fraudeurs de collecter auprès des usagers des informations telles que leur prénom, leur nom de famille, leur adresse postale, leur numéro de téléphone ainsi que toutes les données de leur carte de crédit : numéro, cryptogramme et date d’expiration.

Contacté sur Telegram par La Presse, cet usager a assuré pouvoir nous fournir une réplique du portail du site de paiement du ministère de la Justice du Québec et tous les outils pour mener à bien notre opération d’hameçonnage. Coût ? « Allons-y pour 150 $. »

En prime, notre interlocuteur mentionne qu’il peut nous transmettre 45 000 numéros de téléphone issus d’une brèche de sécurité « récente » au Québec.

Est-ce que notre opération sera 100 % anonyme ? demandons-nous. « Oui », nous assure-t-on. « Nos VPS [serveurs privés virtuels] sont situés à Kyiv, en Ukraine. Ils ignorent aussi le DMAC [Digital Millennium Copyright Act, loi américaine qui permet la suppression de contenus]. Nous commandons [les serveurs] avec de fausses informations au moyen de cryptomonnaies. »

CAPTURE D’ÉCRAN LA PRESSE

Extrait de la conversation Telegram entre un usager offrant des trousses d’hameçonnage et *La Presse*

La Presse n’a pas conclu de transaction, contrairement à des centaines d’utilisateurs de Telegram qui sont abonnés à de tels services.

Qu’elles proviennent de l’Ukraine, de la Russie ou d’autres terreaux de la cybercriminalité, les tentatives d’hameçonnage n’ont pas fini de polluer les boîtes de messagerie des Québécois, croit Fyscillia Ream.

« Si c’est important, on trouvera un moyen de vous joindre autrement, dit-elle. Il vaut mieux ne jamais cliquer sur le lien d’un texto et contacter directement l’entreprise ou l’institution avant de faire un paiement. »

Actualités En continu

Actualités

Concours canadien de journalisme La Presse remporte trois prix

Cette année encore, La Presse a fait belle figure au prestigieux Concours canadien de journalisme, remportant trois prix lors du gala présenté vendredi soir, à Toronto.

Publié hier à 22h15
Justice et faits divers

Trois véhicules incendiés à Longueuil

(Longueuil) Trois véhicules ont été incendiés dans l’arrondissement Saint-Hubert, à Longueuil, dans la nuit de jeudi à vendredi. L’évènement n’a fait aucun blessé, mais la police a ouvert une enquête.

Mis à jour hier à 20h43
Politique

« Je la ghoste encore ? » Le cabinet de la ministre Duranceau ignore les questions sur le droit au logement

(Saint-Jean) Le cabinet de la ministre de l’Habitation, France-Élaine Duranceau, préfère ignorer les demandes des journalistes, révèle un courriel obtenu par La Presse Canadienne.

Mis à jour hier à 20h22
Justice et faits divers

Canada Les juges militaires sont suffisamment indépendants, selon la Cour suprême

(Ottawa) La garantie constitutionnelle d’indépendance et d’impartialité judiciaires n’est pas compromise pour les militaires qui comparaissent devant des juges militaires, a statué la Cour suprême du Canada.

Mis à jour hier à 18h12
Politique

Chambre des communes L’interprétation simultanée suspendue à cause des chocs acoustiques

(Ottawa) Les services d’interprétation de la Chambre des communes sont suspendus jusqu’à nouvel ordre en raison d’un problème qui représente un danger de blessure pour les interprètes. Cette décision a été rendue jeudi après une enquête effectuée en vertu du Code canadien du travail, a appris La Presse. La Chambre des communes promet que la reprise des travaux parlementaires lundi ne sera pas compromise.

Mis à jour hier à 18h10
Justice et faits divers

Des bâtons de dynamite retrouvés dans Rosemont

Les artificiers du Service de police de la Ville de Montréal (SPVM) ont été déployés vendredi après-midi à l’angle de l’avenue d’Orléans et du boulevard Saint-Joseph, là où ont été retrouvés des bâtons de dynamite.

Mis à jour hier à 17h59
Politique

Trudeau met au défi Poilievre de dire « qu’Alex Jones est une ordure »

Pierre Poilievre doit cesser d’alimenter les extrémistes et il doit se dissocier d’eux, selon le premier ministre Trudeau qui met au défi le chef conservateur de dire publiquement « qu’Alex Jones est une ordure ».

Publié hier à 16h40
Actualités

Assemblée des Premières Nations La cheffe a dû retirer sa coiffe traditionnelle sur un vol d’Air Canada

(Ottawa) Après que la cheffe nationale de l’Assemblée des Premières Nations s’est plainte à Air Canada de la façon dont le personnel de bord l’avait traitée, ainsi que sa coiffe de cérémonie, sur un vol cette semaine, elle a déclaré vendredi que la compagnie avait répondu en lui offrant un rabais de 15 % sur son prochain vol.

Mis à jour hier à 16h19
Justice et faits divers

Des crimes « ignobles, odieux et pervers » Accusé d’avoir exploité des dizaines de fillettes au Mali, un Montréalais reste détenu

L’ex-patron d’un centre d’aide aux nouveaux arrivants accusé de crimes sexuels à l’égard de dizaines de fillettes au Mali restera détenu jusqu’à la fin de son procès. Gilles Provencher a commis des crimes « ignobles, odieux et pervers », selon le juge.

Publié hier à 15h54
Grand Montréal

Métro Le service reprend sur la ligne orange

Le service a été interrompu sur la ligne orange après l’intervention des services d’urgences pour porter assistance à une personne blessée, à la station Sherbrooke.

Mis à jour hier à 14h49
Santé

Médecine familiale Une centaine de médecins pourraient repousser leur retraite

(Québec) Grâce à une nouvelle entente avec Québec et leur ordre professionnel, les médecins de famille peuvent désormais prendre une retraite progressive. Leur syndicat anticipe qu’une centaine d’entre eux pourraient à court terme repousser leur départ.

Publié hier à 14h35
Sciences

La précarité énergétique touche davantage les plus pauvres

Près de la moitié des Québécois pauvres souffrent de précarité énergétique, selon une nouvelle étude de l’Université McGill.

Publié hier à 14h14
Politique

Envoi d’aide à Gaza L’expédition de la « Flottille de la liberté » avorte

(Ottawa) L’expédition de la « Flottille de la liberté », cette mission humanitaire visant à acheminer de l’aide à Gaza par la mer à laquelle prennent part cinq Canadiens, dont quatre Québécois, a finalement avorté. Mais ce n’est que partie remise, assure-t-on.

Publié hier à 13h15
Santé

Cancer au Québec « Santé Québec doit agir »

Des organismes demandent à la future agence Santé Québec d’agir dans la lutte contre le cancer et de nommer un vice-président y étant spécifiquement affecté.

Mis à jour hier à 12h02
01:18

Insolite

Un étrange phénomène de momification naturelle dans un cimetière colombien

(San Bernardo) Clovisnerys Bejarano s’agenouille pour prier devant le corps de sa mère, Saturnina, décédée il y a près de 30 ans, mais dont les traits sont restés intacts grâce à un processus de momification « spontané » encore inexpliqué qui se produit dans le village colombien de San Bernardo.

Publié hier à 10h19
Santé

Canada Hausse alarmante des cas de cancer du sein chez les jeunes femmes

On constate une hausse alarmante des cas de cancer du sein chez les jeunes femmes, prévient l’auteure d’une nouvelle analyse sur le sujet, et les experts ne comprennent tout simplement pas ce qui se passe.

Publié hier à 8h59