Comment un fumeur de cannabis de 35 ans à l'origine de 10 millions d'appels frauduleux a fait fortune
Cybercriminalité : comment un fumeur de cannabis de 35 ans à l'origine de 10 millions d'appels frauduleux a fait fortune,
le site iSpoof.cc a permis aux cybercriminels de voler 100 M£
Tejay Fletcher, un fumeur de cannabis de 35 ans, a été condamné à 13 ans et quatre mois de prison pour avoir créé le site iSpoof.cc, qui permettait aux cybercriminels de se faire passer pour des banques ou d’autres institutions en modifiant le numéro ou l’identité affichés lorsqu’ils appelaient leurs victimes. Grâce à ce site, Fletcher a gagné près de 2 millions de livres sterling et mené une vie de luxe, avec une Lamborghini, deux Range Rovers et une Rolex. Son site a été utilisé pour plus de 10 millions d’appels frauduleux au Royaume-Uni et dans le monde, causant des pertes de plus de 100 millions de livres sterling.
Plus de 200 000 victimes au Royaume-Uni, dont beaucoup étaient âgées, ont perdu 43 millions de livres sterling, tandis que les pertes mondiales ont dépassé 100 millions de livres sterling. Fletcher a profité des profits de son site pour mener un train de vie luxueux.
Tejay Fletcher, fondateur du site web iSpoof, a été condamné à 13 ans et quatre mois de prison
Fletcher avait passé son enfance dans une succession de foyers d’accueil, selon son avocat. Il avait commencé sa carrière criminelle en volant des voitures et en consommant du cannabis. Son site a été utilisé pour une grande partie de l’activité frauduleuse au Royaume-Uni, mais la police a fini par le coincer et le faire fermer. Cependant, des sites similaires ont pris sa place depuis, et d’autres personnes continuent d’être victimes de ce type d’escroqueries, selon les experts. Ils ont averti que les criminels avec un site web simple pouvaient contourner la police, les opérateurs téléphoniques et les banques pour faciliter « une fraude à l’échelle industrielle ».
iSpoof.cc permettait aux cybercriminels de déguiser leurs numéros de téléphone dans un processus connu sous le nom de spoofing et de faire croire à des personnes peu méfiantes qu'elles étaient appelées par leur banque ou d'autres institutions. Fils d'une mère célibataire qui « n'arrivait tout simplement pas à s'en sortir », son chemin vers la criminalité était jalonné de voitures volées et de consommation de cannabis, a-t-on appris auprès de la Southwark Crown Court.
Lorsque la police l’a arrêté et a perquisitionné son appartement loué dans l’est de Londres, elle a trouvé des richesses comprenant une Lamborghini valant 230 000 livres sterling, deux Range Rovers valant 120 000 livres sterling et une Rolex valant 11 000 livres sterling. Il y avait aussi une machine à compter l’argent, des bijoux et une montre Audemars Piguet qui semblait être fausse.
En 2020, il a cofondé iSpoof.cc, qu'il a transformé en ce qu'il a appelé « la plateforme d'usurpation d'identité la plus sophistiquée qui soit », permettant aux escrocs de modifier le numéro ou l'identité affichée lors de leurs appels afin de donner l'impression qu'ils appellent d'une organisation de confiance, souvent une banque ou le service des fraudes d'une banque.
Après avoir engrangé près de 2 millions de livres sterling de bénéfices, la police a fini par l'attraper et a fait fermer le site. Son site était utilisé pour une grande partie des activités frauduleuses au Royaume-Uni, mais des imitateurs ont depuis pris sa place, et d'autres personnes sont encore victimes de ce type d'escroquerie, ont averti des experts.
Comment les victimes ont été escroquées
Le nombre de personnes utilisant iSpoof a atteint 69 000 à son apogée, avec jusqu'à 20 personnes par minute ciblées par les appelants utilisant le site.
Plus de 10 millions d'appels frauduleux ont été effectués à l'aide d'iSpoof au cours de l'année qui s'est achevée en août 2022, dont 3,5 millions au Royaume-Uni, selon l'accusation. Plus de 200 000 victimes au Royaume-Uni - dont beaucoup de personnes âgées - ont perdu 43 millions de livres sterling, tandis que les pertes globales ont dépassé les 100 millions de livres sterling.
Pour un abonnement de base de 150 livres sterling par mois, les utilisateurs disposaient d'un nombre de minutes déterminé pour passer des appels automatisés à l'aide du site web ou de l'application. Ils pouvaient ensuite payer un supplément pour des fonctions supplémentaires, ce qui permettait d'obtenir des forfaits valant des centaines, voire des milliers de livres sterling par mois.
Les utilisateurs ne pouvaient payer qu'en bitcoins, une monnaie privilégiée par de nombreux criminels parce qu'il est plus difficile de retracer les paiements. Souvent, les victimes recevaient un appel automatique les invitant à confirmer une transaction sur un compte. Le site web leur permettait d'intercepter les mots de passe à usage unique, qui ont été « ironiquement » introduits par les banques pour renforcer leurs mesures de sécurité, a fait remarquer John Ojakovoh, le procureur.
iSpoof offrait aux escrocs des fonctions supplémentaires qui permettaient aux victimes de taper un code postal après avoir été invitées à le faire par un appel automatisé. Les utilisateurs pouvaient également payer pour surveiller les appels en direct ou passer des appels en prétendant qu'ils provenaient d'un établissement qui avait d'anciennes données de carte dans son fichier et qui voulait en obtenir de nouvelles. Les cybercriminels pouvaient contrôler le contenu de l'appel automatisé et accéder à des outils tels que la reconnaissance vocale.
Dans le cadre de son marketing, iSpoof promettait aux utilisateurs la sécurité et l'anonymat. Il leur était dit que les journaux d'appels et les adresses IP n'étaient pas stockés, de sorte que leurs « traces étaient couvertes ».
En règle générale, les escrocs disposent déjà de certaines données bancaires concernant leurs victimes, souvent obtenues par le biais du smishing (envoi massif de faux messages) ou achetées ailleurs en ligne.
La chaîne Telegram
iSpoof disposait d'un canal sur Telegram, une plateforme de médias sociaux, qu'elle utilisait pour communiquer avec ses clients et faire sa propre promotion, selon l'accusation. La chaîne Telegram affichait également des publicités d'entreprises vendant des coordonnées bancaires. Fletcher l'utilisait pour réaliser des « études de marché », en organisant des sondages pour savoir quelles fonctionnalités les utilisateurs souhaitaient le plus.
D'autres messages « encourageaient » les escrocs à frauder, selon l'accusation. Dans un message posté en janvier 2022, Fletcher a souhaité à ses clients une « bonne année », en écrivant : « Tous de retour au travail, de retour au travail, de retour au travail, de retour au travail » : « Tout le monde retourne au travail, à la recherche d'un sac. Faites de cette année une année spéciale, empilez ces Satoshis [référence à l'inventeur supposé du bitcoin] ».
Fletcher n'était pas particulièrement doué pour la technologie, mais il a utilisé un site web de freelancers pour embaucher des programmeurs afin de créer les « éléments de base » du site. Une programmeuse l'a même averti qu'elle pensait que ce qu'il lui demandait de faire était illégal et qu'elle risquait de se retrouver en prison, comme l'ont révélé des messages consultés par les procureurs.
Son avocat a déclaré qu'il avait d'abord voulu créer un site web simple, mais que son cofondateur lui avait suggéré des moyens de rendre la technologie plus sophistiquée, ce qui l'avait encouragé à poursuivre dans cette voie. En 2021, son cofondateur et lui se sont « brouillés » et Fletcher l'a évincé, le remplaçant par trois autres administrateurs qu'il semblait superviser. Dans un message, on voit Fletcher réprimander un autre administrateur parce qu'il « ne travaille pas assez dur », selon l'accusation.
Lorsque Fletcher a pris le contrôle d'iSpoof, les bénéfices perçus ont connu une « progression fulgurante », passant de 5 à 117 bitcoins, selon les procureurs. Fletcher a reçu 64,38 bitcoins, soit un peu moins de 2 millions de livres sterling.
Comment la police a résolu l'affaire
Se faisant passer pour des clients d'iSpoof, les policiers ont payé un abonnement d'essai en bitcoins et ont testé le site web. Ils ont retracé l'argent qu'ils ont versé à iSpoof et ont fini par découvrir que la « part du lion » des bénéfices revenait à Fletcher. Ils ont obtenu une copie du serveur du site web, qui a révélé des journaux d'appels incriminant davantage Fletcher et les cybercriminels utilisant son site web. Il s'est avéré que Fletcher avait également trompé les cybercriminels en affirmant qu'il ne stockait aucune de leurs informations, ont déclaré les procureurs.
Après son arrestation en 2019, il a d'abord plaidé non coupable. Après avoir vu les preuves contre lui, il a changé son plaidoyer. Selon ses avocats, Fletcher voulait que ses victimes sachent qu'il était sincèrement désolé pour la « misère » qu'il avait causée. Il souffrait et continue de souffrir d'anxiété et de dépression, pour lesquelles il a consulté un psychologue avant son arrestation, a déclaré son avocat.
Décrivant un « jeune homme extrêmement brillant », son avocat, Simon Baker KC, a déclaré : « Il est extrêmement regrettable que l'intelligence n'ait pas été canalisée vers des activités lucratives ». Fletcher, qui est récemment devenu père, faisait régulièrement don d'une partie de sa fortune à CYL, une organisation caritative, pour des projets visant à aider les jeunes hommes souffrant de problèmes de santé mentale, a déclaré son avocat.
Avant son arrestation, il avait envisagé de créer une entreprise pour fournir des bus à l'association caritative et avait obtenu une place dans une école d'art dramatique avant son arrestation. Son avocat a déclaré que cela soulignait son potentiel de réinsertion.
La justice à l'œuvre
Bien que Fletcher reste derrière les barreaux, d'autres personnes font également l'objet d'une enquête. Quelque 120 cybercriminels téléphoniques présumés ont été arrêtés, dont 103 à Londres. Chris Ainsley, responsable de la gestion des risques de fraude chez Santander UK, a déclaré qu'il était « formidable de voir les cybercriminels qui se livrent à ces escroqueries traduits en justice », mais il a mis en garde : « Le risque posé par la fraude et les escroqueries reste toujours présent ».
« Nous continuons à voir des milliers de cas où les cybercriminels se font passer pour des organismes officiels, comme une banque, la police ou le HMRC, en usurpant des numéros de téléphone pour convaincre les victimes et les pousser à agir ». Jim Winters, directeur de la criminalité économique chez Nationwide, a déclaré qu'iSpoof était à l'origine d'un « pourcentage significatif de l'activité frauduleuse » que les banques observaient à l'époque, et a ajouté que les banques disposaient désormais de davantage de contrôles anti-spoofing.
Selon lui, la plupart des banques sont désormais inscrites sur une liste anti-fraude tenue par l'autorité de régulation des télécommunications Ofcom, connue sous le nom de liste « do not originate », qui enregistre les numéros de téléphone utilisés par des entreprises ou des administrations authentiques pour recevoir des appels, mais qui ne sont jamais utilisés pour des appels sortants. Cette liste est communiquée aux fournisseurs de télécommunications et à leurs intermédiaires pour les aider à identifier et à bloquer les appels frauduleux.
Ces numéros, tels que ceux qui figurent au dos des cartes bancaires ou qui sont répertoriés comme numéros d'assistance en cas de fraude sur le site web d'une banque, sont les plus exposés au risque d'usurpation d'identité. Cependant, certaines banques n'ont pas inclus tous les numéros pertinents dans la liste de l'autorité de régulation, selon une enquête menée en novembre dernier par le groupe de consommateurs Which ?
Le commissaire Helen Rance a déclaré : « Je suis fière de mon équipe qui a mené une longue et complexe enquête internationale », à l'issue de laquelle Fletcher n'a eu d'autre choix que de plaider coupable.
« Ceux qui commettent des fraudes n'ont aucune considération pour l'impact qu'elles ont sur la vie de victimes innocentes qui ont perdu des centaines de milliers de livres. Fletcher devrait avoir honte. « Nos enquêtes plus larges sur les utilisateurs présumés d'iSpoof se poursuivent. Je tiens à remercier nos partenaires qui ont contribué à l'enquête. »
Le commandant Nik Adams, de la police de la ville de Londres, chef de file national en matière de fraude, a déclaré : « Cette affaire est un excellent exemple de la manière dont une activité coordonnée et collaborative entre un certain nombre d'organismes chargés de l'application de la loi peut aboutir à un résultat judiciaire significatif pour les victimes de fraude et de cybercriminalité. Ce type de crime ne sera pas toléré et les personnes impliquées dans la fraude et la cybercriminalité seront retrouvées et traduites en justice. »
Des millions de personnes reçoivent chaque mois des appels et des SMS frauduleux, dont beaucoup sont convaincants parce que le criminel semble utiliser un vrai numéro de téléphone, comme celui d'une banque ou d'un fournisseur de services publics, pour tenter de convaincre la victime que le message est légitime.
Cette tactique, connue sous le nom d'usurpation d'identité, trompe la victime car le numéro de téléphone semble être réel.
Les entreprises peuvent protéger leurs clients en faisant en sorte qu'il soit le plus difficile possible pour les criminels d'usurper leurs numéros de téléphone, mais certaines des plus grandes banques n'ont pas réussi à le faire.
Source : Metropolitan Police
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
Répondre avec citation
Envoyé par Dodfr2
Partager