Comment voler des bitcoins en se faisant passer pour un guide du dark web

"C’est probablement le site de phishing le plus réussi que j’aie jamais vu."

|
01 Septembre 2017, 8:00am

Image : Flickr/Mr TGT. Montage : Jordan Pearson

Sur Internet, les malfrats rivalisent d'ingéniosité pour dérober vos informations personnelles et votre argent. Leurs pièges sont nombreux, variés et façonnés avec grand soin. Darknetmarkets.org n'est qu'un site malveillant parmi tant d'autres, mais il a un avantage sur ses concurrents : il est tellement bien fait que Google l'affiche dans les résultats de recherche.

Darknetmarkets.org est un "vrai" site web à tout point de vue. La police de son logo imite l'aspect d'une trace de cocaïne. Sa page d'accueil est régulièrement mise à jour avec les dernières nouvelles du deep, ses pages débordent d'informations destinées à quiconque cherche à se procurer de la drogue sur le dark web et ses tutoriels livrent tous les secrets du mixage de bitcoin, un procédé qui rend vos transactions intraçables pour les autorités. Une barre latérale énumère les "meilleurs" marchés noirs.

Si vous cherchez "mixer bitcoin" sur Google, Darknetmarkets apparaît en première page.

Capture d'écran : Google

Il y a un truc : les conseils, articles et guides de Darknetmarkets sont authentiques, mais leurs liens renvoient vers des versions factices de services de mixage de bitcoins bien réels. Il semble que les marchés noirs de la barre latérale soient des clones, eux aussi. L'un des liens renvoie vers une page d'identification pour AlphaBay, l'ancien plus grand dark market du monde. Le problème, c'est que le vrai AlphaBay a été mis hors-ligne par une opération de police internationale au mois de juillet dernier.

Captures d'écran : AlphaBay, darknetmarkets.org

Le créateur de Darknetmarkets a manifestement investi beaucoup de temps et d'efforts dans son arnaque. Le site semble tout à fait légitime, son impact est maximal. Motherboard a tenté d'entrer en contact avec cet individu, sans succès. CompariTech, un site d'analyse et de comparaison pour services numériques, a repéré l'arnaque le premier et détaillé sa découverte dans un billet de blog publié le mercredi 30 août dernier.

Après une enquête indépendante, Motherboard peut confirmer que plusieurs liens du site aiguillent les internautes vers des pages factices. Les URL et l'apparence de ces clones ne correspondent pas à celles de leurs modèles.

Captures d'écran : Dream Market, darknetmarkets.org

"Le but est d'attirer les gens qui cherchent une phrase particulière sur Google, de leur faire croire qu'ils sont en sécurité en leur fournissant de bonnes informations, puis de les précipiter sur un lien douteux qui va permettre de les voler, explique Lee Munson, chercheur en sécurité pour CompariTech. La personne qui a créé tout ça a bien fait ses devoirs. C'est probablement le site de phishing le plus réussi que j'aie jamais vu."

Darknetmarkets tourne depuis 2015 au moins ; la Wayback Machine de l'Internet Archive l'a repéré pour la première fois cette année-là. Il semble qu'il n'ait pas été particulièrement mis à jour depuis, ce qui ne l'empêche pas de continuer à pavaner en première page de Google. Plusieurs posts sur Reddit ont dénoncé le site l'année dernière mais aucun d'entre eux n'est parvenu à attirer l'attention de la communauté. Sur le subreddit dédié au service de mixage de bitcoins Grams, plusieurs personnes ont affirmé qu'elles avaient été arnaquées. Dès lors, comment expliquer la place de choix de cette arnaque dans le plus grand moteur de recherche du monde ?

Pour Munson, Darknetmarkets profite peut-être de nombreux backlinks : des sites légitimes renvoient vers lui sans se rendre compte qu'il est malhonnête, ce qui le rend séduisant pour l'algorithme de Google. Le chercheur a également supposé qu'il utilisait des techniques SEO (Search engin optimisation, optimisation pour les moteurs de recherche) basiques.

Google n'a pas souhaité faire de commentaire à propos de Darknetmarkets. L'un de ses porte-parole a indiqué à Motherboard que les sites malhonnêtes devaient être signalés.

Les bandits du web sont prêt à tout pour dérober quelques unités de cryptomonnaie, et Darknetmarkets le prouve une fois de plus.