Fraude bancaire : des smartphones fantômes dans le cloud dupent les banques
Les fraudeurs n’ont plus besoin de vrais téléphones pour vider des comptes bancaires. Des smartphones virtuels hébergés dans le cloud, louables quelques centimes de l’heure, imitent sans problème de vrais appareils et passent sous le radar des systèmes anti-fraude.
Un smartphone qui n’existe pas
Group-IB vient de publier un rapport qui fait froid dans le dos. Des plateformes comme GeeLark, Redfinger ou LDCloud proposent de louer des smartphones Android virtuels hébergés dans des datacenters, pour 0,10 à 0,50 dollar de l’heure. À la base, ils sont prévus pour tester des apps ou gérer plusieurs comptes.
Sauf que les fraudeurs ont très vite compris l’intérêt du truc. Ces téléphones fantômes reproduisent tout ce qui fait un vrai smartphone : identifiant unique, adresse IP locale, géolocalisation crédible, et même des données de capteurs comme l’accéléromètre ou le gyroscope.
Votre banque croit parler à un iPhone à Paris. En réalité, c’est un serveur quelque part en Asie. Et le pire, c’est que ça marche. Les systèmes anti-fraude qui se basent sur l’empreinte de l’appareil n’y voient que du feu.
Revolut et Wise en vitrine sur le darknet
Là où ça devient concret, c’est quand on regarde ce qui se vend sur les forums criminels. Des comptes bancaires pré-vérifiés sur Revolut ou Wise, créés via ces cloud phones, s’échangent entre 50 et 200 dollars.
On parle de comptes mules utilisés pour recevoir et faire transiter de l’argent volé. Le tout à échelle industrielle. Côté chiffres, c’est vertigineux : 485 millions de livres de pertes liées à la fraude au Royaume-Uni en 2022.
Aux États-Unis, Deloitte projette 14,9 milliards de dollars d’ici 2028, contre 8,3 milliards en 2024. Et la France n’est pas épargnée, avec 618 millions d’euros de fraude bancaire au premier semestre 2025, en hausse de 7 % par rapport à 2024.
Comment les détecter ?
Group-IB a quand même identifié quelques indices. Un cloud phone n’a en général aucune application par défaut installée. Sa batterie reste bloquée à 100 %. Et surtout, les capteurs de mouvement ne bougent jamais, ce qui est impossible avec un vrai téléphone que quelqu’un tient dans la main.
Le problème, c’est que ces indices sont marginaux face à l’ampleur du phénomène. Les solutions proposées passent par de l’analyse comportementale, de la modélisation par graphes et une meilleure corrélation entre l’appareil et son environnement réseau.
Les banques vont devoir arrêter de se fier uniquement à l’empreinte du téléphone pour vérifier que vous êtes bien vous.
Le modèle de sécurité des banques basé sur l’identification de l’appareil est en train de prendre l’eau. Ces cloud phones sont en location libre, parfaitement légaux, et n’importe qui peut en louer un.
Et puis il faut le dire, les néobanques qui ont misé à fond sur la fluidité d’ouverture de compte se retrouvent avec le revers de la médaille. Quand ouvrir un compte prend deux minutes depuis un téléphone virtuel à 50 dollars, on imagine bien que les fraudeurs ne se privent pas.
Source :
Info Security
Leave a Comment