La plupart des fournisseurs de services d’exploitation SS7 sur le dark web sont des escrocs

Can you really buy cellphone tracking services on the dark web?

L’existence de vulnérabilités du protocole de téléphonie mobile du Signaling System 7 (SS7) est une chose contre laquelle les chercheurs en sécurité ont mis en garde en 2016, et il n’a fallu qu’un an avant que les premières attaques les exploitant soient observées.

Dans les années qui ont suivi, les gouvernements ont exploité les failles SS7 pour suivre les individus à l’étranger, et les pirates les ont utilisés pour détourner Telegram et des comptes de messagerie.

Outre les SMS, les failles de sécurité SS7 peuvent être exploitées pour intercepter ou transférer des appels, des codes 2FA, localiser des appareils, falsifier des SMS, etc.

Mais ces services de piratage sont-ils aussi abondants qu’on le dit, ou le dark web est-il plein d’escrocs qui n’attendent que de voler l’argent des aspirants espions ?

Une enquête sur la disponibilité

Les analystes de Renseignement SOS ont recherché sur le dark web des fournisseurs de services d’exploitation SS7 et ont trouvé 84 domaines d’oignon uniques prétendant les offrir.

Après avoir réduit les résultats à ceux qui semblaient toujours actifs, ils se sont retrouvés avec seulement les quatre suivants :

  • Exploiteur SS7
  • Exploiteur en ligne SS7
  • Piratage SS7
  • Marché du renard noir
Le site du marché Dark Fox
Le site du marché Dark Fox
Source : SOS Renseignement

Tous les quatre prétendent offrir l’interception et l’usurpation de SMS, le suivi de localisation, l’interception et la redirection d’appels.

En analysant les données de topologie du réseau pour ces sites, les chercheurs ont découvert que certains d’entre eux étaient relativement isolés, n’ayant pas beaucoup de liens entrants.

Ce n’est pas une bonne indication de la fiabilité et de la crédibilité du site et est généralement une indication de plates-formes d’escroquerie récemment mises en place.

De plus, le site SS7 Hack semble copié à partir d’un site Web clearnet créé en 2021, il ressemble donc à une arnaque.

En essayant d’utiliser son kit d’exploit SS7, espérant la mise en œuvre d’une fonction de mise en miroir d’API, les chercheurs n’ont rien obtenu car le service était hors ligne.

Page d'achat du service Dark Fox Market
Page d’achat du service Dark Fox Market
Source : SOS Renseignement

Sur la plate-forme Dark Fox Market, qui facture 180 $ pour chaque numéro de téléphone ciblé, les chercheurs ont trouvé les mêmes vidéos de démonstration téléchargées par les utilisateurs russes sur YouTube en 2016.

Ceux-ci ont très probablement été volés sur YouTube et n’avaient aucun rapport avec la plate-forme Dark Fox Market, qui n’offre de toute façon aucun service d’exploitation SS7 fonctionnel.

Malgré tout cela, en analysant les portefeuilles de crypto-monnaie fournis par ces plates-formes, SOS Intelligence a découvert que les escrocs gagnaient des sommes importantes.

De vrais services d’exploitation SS7 cachés

Ce qui précède ne signifie pas qu’il n’y a pas de services d’exploitation SS7 sur le dark web, mais plutôt que les vrais sont cachés derrière des forums de piratage et des marchés réservés aux membres tels que World Market.

Comme c’est généralement le cas sur le dark web, les premiers résultats de recherche que l’on peut trouver en « surface » conduisent généralement à des arnaques.

Publication de WorldMarket offrant des services d'exploit SS7
Publication de WorldMarket offrant des services d’exploit SS7
Source : KELA

Il faudrait creuser plus profondément pour obtenir la vraie affaire, mais cela n’élimine jamais les chances d’atterrir toujours à la réception d’une arnaque.

Les acteurs sophistiqués de la menace ont accès aux données des téléphones portables via des affiliations ou leurs propres opérations, ils n’ont donc pas besoin de rechercher des fournisseurs de services d’exploitation SS7.