En à peine sept mois, un réseau d’acteurs malveillants a utilisé un kit de phishing nommé Magic Cat pour dérober les données bancaires de 884 000 individus, dont près de 9 000 en France.
Les techniques d’hameçonnage sont devenues particulièrement complexes
À l’heure où les cyberattaques prennent une dimension industrielle, la lutte contre le phishing doit être repensée en profondeur. Une campagne de cyberfraude d’une envergure exceptionnelle, menée sur une période de sept mois, a mis en évidence la redoutable sophistication des techniques d’hameçonnage actuelles.
Ce n’est plus l’œuvre de quelques pirates isolés, mais bien celle d’un écosystème organisé, agile et international. Au cœur de cette offensive numérique : Magic Cat, un kit de phishing prêt à l’emploi, qui a permis à des centaines d’acteurs malveillants d’extraire les coordonnées bancaires de 884 000 victimes, dont près de 9 000 en France.
Cette attaque révèle une transformation profonde du paysage cybercriminel. Derrière des façades anonymes, c’est toute une économie parallèle qui s’anime.
Comment tant de personnes se retrouvent-elles si facilement piégées ?
Le succès de Magic Cat repose en grande partie sur son modèle commercial. Il ne s’agit pas d’un logiciel isolé, mais d’un véritable service commercialisé sur Telegram, dans des groupes fermés où transitent non seulement les outils techniques (modèles de sites, bases de numéros), mais aussi des tutoriels, des retours d’expérience et même des encouragements symboliques comme des montres de luxe ou des photos de billets de banque. Chaque utilisateur de Magic Cat paie pour accéder à cette plateforme, puis personnalise ses campagnes de phishing selon ses objectifs et ses cibles.
Ce phishing-as-a-service fonctionne comme un véritable marché noir technologique. Certains utilisateurs investissent dans des infrastructures de type SIM farms capables d’envoyer jusqu’à 30 000 SMS frauduleux par jour. D’autres affinent leurs techniques de tromperie en adaptant les sites contrefaits aux réalités locales. Chronopost, Royal Mail, La Poste, USPS : toutes les marques utilisées sont soigneusement choisies pour leur pouvoir de persuasion. L’affichage mobile, le contournement des filtres antispam via RCS ou iMessage, l’usage exclusif de la 4G, tout est pensé pour maximiser l’efficacité des attaques tout en échappant aux dispositifs de détection.
En quelques clics, un opérateur peut créer une page frauduleuse, envoyer des milliers de messages, et voir en direct les victimes saisir leurs informations bancaires : numéro de carte, cryptogramme, adresse, codes à usage unique. Souvent, les victimes croient effectuer un simple règlement d’un euro pour récupérer un colis, sans se douter que leurs identités financières sont déjà compromises.
Magic Cat est ainsi devenu l’illustration parfaite d’un modèle décentralisé, évolutif et quasiment impossible à démanteler. La menace ne provient plus uniquement de quelques groupes organisés, mais d’une multitude d’individus répartis aux quatre coins du globe, autonomes mais interconnectés, soutenus par une communauté souterraine active et réactive.
Source : Clubic
