Une campagne de fraude à grande échelle avec plus de 700 noms de domaine cible probablement les utilisateurs russophones souhaitant acheter des billets pour les Jeux olympiques d'été de Paris.

L'opération propose de faux billets pour les Jeux olympiques et semble profiter d'autres grands événements sportifs et musicaux.

Les chercheurs qui analysent la campagne l'appellent Ticket Heist et ont découvert que certains des domaines ont été créés en 2022 et que l'acteur malveillant continuait à en enregistrer en moyenne 20 nouveaux chaque mois.

Des faux billets pour les Jeux Olympiques hors de prix

Fin 2023, les chercheurs de la société de renseignement sur les menaces QuoIntelligence ont remarqué une augmentation des conversations autour des Jeux olympiques de Paris, qui doivent débuter le 26 juillet prochain.

Étant donné que l'événement a toujours été utilisé à des fins d'influence géopolitique et suite à la décision du Comité international olympique d'interdire la participation des athlètes russes et biélorusses sous le drapeau de leur pays, les chercheurs ont continué à surveiller le sujet et à rechercher des activités suspectes en ligne.

QuoIntelligence a gardé un œil sur des mots-clés spécifiques (par exemple, billet, Paris, réduction, offre) utilisés dans les domaines nouvellement enregistrés et a découvert l'opération Ticket Heist qui s'appuie sur 708 domaines hébergeant des sites Web convaincants prétendant vendre des billets valables et fournir des options d'hébergement pour les Jeux Olympiques de Paris.

Les premiers domaines de ce type découverts étaient ticket-paris24[.]com et billets-paris24[.]com, ce dernier étant un clone du premier.

L'interaction utilisateur que les opérateurs de Ticket Heist ont créée pour les visiteurs semble légitime et encourage l'engagement avec le site et la sélection de billets.

Dans un rapport publié aujourd'hui, les chercheurs affirment que le même cadre d'interface utilisateur est présent sur tous les sites Web liés à Ticket Heist, avec seulement des variations mineures de contenu et de langage faisant la différence entre les sites Web frauduleux.

Outre la conception des sites Internet, ce qui est frappant dans cette affaire, c'est le prix des faux billets proposés. QuoIntelligence note que les prix sont gonflés par rapport aux prix légitimes.

Chercheur en menaces chez QuoIntelligence Andreï Moldave a déclaré à BleepingComputer que même si cela n'a pas été confirmé, les prix plus élevés pourraient faire partie d'un stratagème pour faire croire aux victimes qu'elles bénéficient d'un « traitement premium » pour l'argent supplémentaire puisque les billets ne sont pas disponibles via les canaux de distribution officiels.

Alternativement, un prix plus élevé pourrait également faire croire aux victimes qu'il s'agit d'une opération de scalping qui profite de la pénurie de billets.

Alors qu'ils tentaient de tester leurs théories sur l'objectif de Ticket Heist et de recueillir des informations qui pourraient permettre de découvrir qui se cache derrière, QuoIntelligence a tenté d'effectuer un achat sur l'un des sites Web frauduleux.

Ils ont constaté que toutes les transactions sont effectuées via la plateforme de traitement des paiements Stripe et que l'argent n'est transféré que lorsque la carte dispose de fonds suffisants.

Cela signifie que l’objectif de l’opérateur n’est pas de collecter des informations de carte de crédit, mais de voler de l’argent à la victime.

De plus, ce test a également révélé le nom de l'entreprise VIP Events Team LLC, qui a été créée le 26 novembre 2021 et est toujours active mais son site Web n'a jamais été indexé par les moteurs de recherche publics.

Les chercheurs affirment que même si la société semble être basée à New York, la section « contactez-nous » sur ticket-paris24[.]com indique que la société qui se trouve derrière est située à Tbilissi, en Géorgie.

En analysant l'infrastructure derrière l'opération Ticket Heist, les chercheurs ont découvert que tous les domaines frauduleux étaient hébergés à la même adresse IP, 179[.]43[.]166[.]54, appartenant à un fournisseur est lié à des activités malveillantes de plusieurs services.

Bien que chaque site Web dispose d'un certificat SSL unique, QuoIntelligence a remarqué un modèle dans la structure du domaine et des noms de sous-domaines uniques utilisés.

Ils ont observé que les sous-domaines comprenaient souvent jswidget, cadre de widgetou widget-apiqui, combiné aux enregistrements DNS et aux fichiers JavaScript courants, les a aidés à découvrir l'ensemble du réseau de 708 domaines.

Chaque mois, l'acteur malveillant a enregistré en moyenne 20 nouveaux domaines, mais en novembre dernier, le nombre a enregistré une augmentation significative avec la création de 50 nouveaux domaines.

Actuellement, 98 % des domaines liés à Ticket Heist sont considérés comme exempts de logiciels malveillants par les services d'analyse participative, ce qui confirme la théorie selon laquelle l'objectif est de voler directement les victimes via un service de paiement légitime.

L'événement attire et fait des victimes

Les Jeux olympiques de Paris ne sont pas les seuls appâts de l'opération Ticket Heist. Les fraudeurs ont également tenté d'appâter leurs victimes avec de faux billets pour le Championnat d'Europe de l'UEFA de cette année.

QuoIntelligence a trouvé plusieurs sites Web en anglais qui proposaient des billets pour l'événement de football.

De plus, les chercheurs ont découvert des sites Web impliqués dans cette activité frauduleuse qui prétendaient vendre des billets pour des concerts de musique mettant en vedette des groupes célèbres comme Twenty One Pilots, Iron Maiden, Metallica, Rammstein et des musiciens (Bruno Mars, Ludovico Einaudi).

Dans ces cas, les chercheurs affirment que les faux billets concernaient des concerts dans les environs de Moscou et d'autres grandes villes de Russie.

Bien que ces pages soient en anglais, QuoIntelligence affirme que la plupart des sites Web de Ticket Heist étaient uniquement en russe, ce qui suggère que les utilisateurs russophones étaient la principale cible de l'opération.

Un autre indicateur menant à cette conclusion est la présence de coordonnées utilisant des numéros de téléphone de services mobiles russes.

« Évidemment, ce n’est pas une preuve à 100 % que l’intention est de cibler les personnes russophones, mais de nombreux indicateurs et conclusions pointent dans cette direction », nous a déclaré Moldovan.

Des sites Web frauduleux prétendant vendre des billets pour les Jeux olympiques de Paris ont déjà été signalés. La Gendarmerie nationale française averti Le mois dernier, elle a découvert 338 sites frauduleux, dont beaucoup étaient hébergés à l'extérieur du pays.

Dans un autre rapport, la société de cybersécurité Proofpoint alerté d'un tel site Web poussé via les résultats des moteurs de recherche sponsorisés.

Sur Reddit, un utilisateur s'est plaint d'avoir été victime d'une arnaque après avoir essayé d'acheter un billet sur paris24tickets[.]com.

Bien que QuoIntelligence n'ait pas pu vérifier comment la transaction a été effectuée car le site Web n'est plus actif, Moldovan affirme que sur la base des ressources archivées, le site Web était complètement différent en termes d'infrastructure d'hébergement, de configuration réseau et d'interface utilisateur.

Malgré ces exemples, QuoIntelligence dit que l'opération Ticket Heist est en cours et n'a pas été signalée dans les recherches publiques, montrant que de nombreux fraudeurs tentent de capitaliser sur les Jeux olympiques cette année.

La société de renseignement sur les menaces fournit un ensemble de indicateurs de compromission (IoC) pour l'opération Ticket Heist que la communauté de la cybersécurité peut utiliser pour protéger ses clients.