Il a développé et distribué de véritables «kit de phishing» en créant à grande échelle de faux sites internet de connexion à un e-banking. Objectif? S'en mettre plein les poches en détroussant des clients de banques suisses.
Ce mardi 29 juillet, le Ministère public de la Confédération (MPC) annonce que son enquête, menée avec la police fédérale (fedpol), a permis la condamnation d'un escroc international – en la personne d'un étudiant aujourd’hui âgé de 21 ans. Les autorités judiciaire et policière ont pu identifier et localiser en Angleterre l'homme à l'origine de l'arnaque chiffrée à 2,4 millions de francs.
Sept ans de prison
«La procédure pénale a été reprise par les autorités britanniques, qui menaient déjà une procédure similaire à l'encontre de cette personne», précise le MPC. Le 23 juillet dernier, le cybercriminel a été condamné à sept ans de prison. «Ce succès illustre l’importance de la coopération internationale dans la lutte contre la cybercriminalité», se félicite le plus haut échelon de la justice suisse.
La procédure pénale était ouverte contre inconnu depuis juillet 2022, pour «suspicion d’utilisation frauduleuse d’un ordinateur». Une trentaine de cas avaient été reportés aux différents organes de justice cantonale. Entre mai et septembre 2022, l'auteur a «créé et utilisé plusieurs pages de connexion falsifiées (pages de phishing) de différentes banques suisses».
Les clients mordent à l'hameçon
En cliquant sur un site après une recherche Google, les clients pensaient se connecter au site de leur banque. Mais en arrière-plan, leurs données de connexion étaient dérobées, «permettant ainsi à l’auteur de l’infraction d'accéder avec les données d’accès volées à leurs comptes e-banking et de déclencher l'authentification à deux facteurs».
De quoi recevoir un SMS contenant leur code d'identification, et entrer ce dernier sur le faux site. «Ce code était donc récupéré par l’auteur de l’infraction, lui permettant de se connecter avec succès au compte e-banking des victimes et d'enregistrer un appareil supplémentaire pour l'authentification à deux facteurs», détaille le communiqué de presse. Nombre de clients ont donc mordu à l'hameçon de cette technique de realtime-phishing (en français: cyberescroquerie en temps réel) et se sont fait vider leur compte.
