Covid-19 : Comment des cyberarnaqueurs nigérians détournent l’aide aux chômeurs américains
Scattered Canary, un groupe nigérian de cybercriminels passés maîtres en matière d’arnaques par email, est au cœur d’une vaste opération de vols d’identité, visant à détourner les aides financières d’urgence destinées aux victimes économiques de la pandémie de Covid-19 aux États-Unis. Des centaines de millions de dollars sont en jeu, d’après le FBI.
Le 8 mai, Anna Zivart a appelé en panique son employeur. Cette habitante de Seattle, dans le nord-ouest des États-Unis, venait de recevoir une lettre du gouvernement l’informant que le montant de son allocation chômage mensuelle lui avait été versée… Pourtant, personne ne l’avait informée qu’elle avait perdu son travail, à l’instar de dizaine de millions d’Américains en cette période de marasme économique, dû à la pandémie de Covid-19. Finalement, ce n’était pas le cas mais quelqu’un s’était fait passer pour elle, afin de profiter du système d’aide d’urgence aux victimes économiques de la crise sanitaire, raconte le New York Times.
En parallèle, dans l’Oklahoma, au Massachusetts ou encore en Floride, les banques ont vu arriver un nombre de plus en plus important d’ordres de virements au titre de l’aide aux chômeurs. Pas étonnant vu la période, mais « ce qui était particulièrement frappant, c’est la quantité de demandes frauduleuses que nous avons repérés après vérification, et qui portaient sur des sommes parfois élevées », souligne Elaine Dodd, vice-présidente de la division de lutte contre les fraudes de l’association des banques de l’Oklahoma, interrogée par le site spécialisé dans la cybercriminalité Krebs On Security. Certains virements atteignaient les 30 000 dollars.
L’alerte du « secret service »
Le « secret service » — l’agence fédérale chargée de lutter contre la fraude financière — avait aussi flairé qu’une arnaque de grande ampleur était en cours. « Nous supposons qu’un réseau criminel international, en possession d’une vaste quantité de données personnelles d’identification, est en train de soumettre des demandes frauduleuses d’aide financière [dans tout le pays] », écrivent les agents dans une note obtenue par le New York Times et Krebs On Security, le 16 mai. D’après cette alerte, l’opération en cours pourrait « coûter des centaines de millions de dollars aux États-Unis ».
Pour parvenir à leurs fins, les cybercriminels comptent sur le laxisme des contrôles d’un dispositif mis en place pour venir au secours au plus vite aux personnes qui perdent leur emploi du jour au lendemain, souligne le « secret service » américain. La note n’indique pas qui est derrière cette fraude, mais des agents interrogés par le New York Times affirment que les cybercriminels seraient basés au Nigeria.
En fait, il semblerait qu’une partie, au moins, de l’opération soit menée depuis Ibadan, une ville du Sud-Ouest qui abrite l’un des groupes de cybercriminels nigérians les mieux organisés : les Scattered Canary. Depuis le 29 avril, ils ont déposé au moins deux cents demandes frauduleuses d’aides financières dans l’État de Washington et dans le Massachusetts, affirme Agari, une société américaine de sécurité informatique, qui suit les agissements de ces spécialistes de l’usurpation d’identité et des arnaques en ligne.
Ces cybercriminels disposent des informations nécessaires — noms, prénoms, adresses et numéros de sécurité sociale — pour déposer une demande en bonne et due forme, accompagnée d’un numéro de compte bancaire appartenant à un complice aux États-Unis, qui se charge ensuite de blanchir l’argent.
Des arnaques sur Craiglist à la pandémie de Covid-19
Ce mode opératoire a permis à Scattered Canary de procéder à des tentatives d’escroquerie aux allocations chômage d’une valeur dépassant cinq millions de dollars dans le Massachusetts et l’État de Washington rien que sur les deux premières semaines de mai, affirment les experts d’Agari, dans une note publiée lundi 19 mai. Un constat qui suggère que ce groupe, à défaut d’être le seul, semble être le plus actif et le mieux organisé, souligne Agari.
Rien d’étonnant à cela pour ces experts en cybercriminalité : toute l’histoire de Scattered Canary semble les avoir préparés à profiter d’une tragédie de l’ampleur de la crise engendrée de la crise actuelle. À l’origine, il s’agit d’un seul individu, ayant fait ses premières armes en arnaquant, à partir de 2008, des utilisateurs de Craiglist, le célèbre site américain de petites annonces entre particuliers. « Jusqu’en 2010, cette personne appelée ‘Alpha’ s’est fait 24 000 dollars par mois en moyenne, qu’il partageait avec un complice », souligne Crane Hassold, analyste pour Agari.
Au début des années 2010, il a commencé à recruter des « employés » pour diversifier ses activités criminelles. L’une d’entre elles est rapidement devenue centrale : les arnaques sentimentales. Elles consistent à faire croire à la victime qu’elle vit le parfait amour à distance avec une personne qui, en réalité, va l’amener progressivement à lui transférer tout son argent ou presque. « C’est un processus lent pour gagner la confiance de la personne, mais il permet de se former un réseau d’individus à sa merci qui peuvent effectuer diverses tâches pour le compte de l’organisation », note Crane Hasslod. Au fil des ans, Scattered Canary s’est constitué une petite armée d’environ 150 personnes sous son emprise, d’après Agari. Ce sont eux qui sont chargés de blanchir l’argent détourné depuis le début de la crise sanitaire actuelle.
Des méfaits très coûteux pour l’économie américaine
L’organisation, qui compte une vingtaine de personnes au milieu des années 2010, ne va pas se contenter longtemps d’arnaquer seulement des individus et de briser des cœurs pour s’enrichir. Elle passe alors à la vitesse supérieure en s’attaquant à des entreprises et des organisations gouvernementales. Leur but principal, dans un premier temps, est de se constituer une base de données d’informations personnelles en dupant des employés et des services de ressources humaines avec des emails bidons. « Entre 2015 et 2017, Scattered Canary a pu obtenir les informations d’au moins 3 000 personnes aux États-Unis et au Canada », précise l’analyste d’Agari.
Ces précieux sésames — identités, numéro de sécurité sociale, adresse, etc. — leur permettent ensuite de demander le versement de crédit d’impôts à l’administration fiscale, ou de solliciter des prêts auprès de banques, et même d’indiquer à l’employeur un changement de compte bancaire où verser le salaire.
Ils ont aussi arnaqué des fonds de pension, et, en 2017, à l’occasion de la tempête Harvey, Scattered Canary a usurpé l’identité de victimes de la catastrophe naturelle, afin de toucher les aides distribués par la Fema, l’organisme fédéral qui intervient lors des situations d’urgence.
Ces cyberescroqueries, moins médiatiques que les grandes cyberattaques ou les affaires d’espionnages numériques, sont très lucratives. Elles ont couté 1,7 milliard de dollars à l’économie américaine en 2019, d’après le FBI. Et sur le sol américain, les Nigérians de Scattered Canary, qui comptent aujourd’hui plus d’une quarantaine de membres, figurent parmi les plus actifs.
Avec une connaissance du terrain, un réseau déjà en place et un savoir-faire certain, ces cybercriminels ont vu dans la pandémie de coronavirus l’occasion rêvée d’exercer leurs « talents ». Quitte à aggraver, pour des milliers d’Américains, une situation financière déjà précaire.