Selon KrebsOnSecurity, des groupes cybercriminels ont délaissé le vol d’identifiants de wallets mobiles pour exploiter des comptes de courtage via des campagnes de phishing sophistiquées, afin de mener des opérations de manipulation boursière « ramp and dump ». Les victimes se retrouvent avec des positions sans valeur, tandis que les attaquants profitent de la hausse artificielle des cours.
🎣 Le chaîne d’attaque démarre par des SMS/iMessage usurpant des plateformes de courtage et redirigeant vers des sites de collecte d’identifiants qui capturent identifiants, mots de passe et codes OTP par SMS. Les comptes compromis servent ensuite à acheter massivement des actions ciblées (souvent des IPO chinoises ou penny stocks) depuis de multiples comptes victimes afin de faire monter les prix, avant de revendre rapidement.
🔐 Le schéma exploite les faiblesses du MFA par SMS sur plusieurs grandes plateformes de courtage et s’appuie sur des opérateurs humains supervisant en temps réel des banques d’appareils mobiles pour gérer les connexions et transactions.
🧰 Des kits de phishing avancés, développés avec l’aide de l’IA/LLM et vendus sur Telegram, facilitent ces campagnes. Des vendeurs comme « Outsider » proposent des modèles personnalisables adaptés à différents courtiers.
TTPs observés:
- Usurpation via SMS/iMessage de marques de courtage
- Credential harvesting (identifiants + OTP SMS)
- Contournement de MFA basé sur SMS
- Prise de contrôle simultanée de multiples comptes
- Achats coordonnés pour gonfler le cours, puis dump
- Opérations humaines en temps réel avec banques de mobiles
- Kits de phishing assistés par IA/LLM, vente sur Telegram (ex. « Outsider »)
Type: analyse de menace visant à documenter une évolution des fraudes financières par phishing et exploitation du MFA SMS.
🔗 Source originale : https://krebsonsecurity.com/2025/08/mobile-phishers-target-brokerage-accounts-in-ramp-and-dump-cashout-scheme/