Nous avons défini et décrit différents types de cybercriminalité en fonction de leur élément d’intrusion, en détaillant les techniques, tactiques et procédures (TTP) typiques. Nous les avons ensuite classés en fonction des méthodes que les auteurs utilisent généralement pour encaisser/monétiser les fonds illicites. Ces catégories reflètent le fait que de nombreux types de cybercrimes se comportent de manière similaire sur le plan financier, même si les processus d’intrusion sont totalement différents. Ainsi, à partir des seuls indicateurs financiers, il est souvent impossible de deviner avec précision le type de criminalité à l’origine des fonds.
Par exemple, bien que les éléments de cyberintrusion des attaques sur messageries d’entreprise et par chevaux de Troie bancaires soient entièrement différents, lorsqu’on tente de monétiser les produits illicites, les deux types de cybercriminalité peuvent impliquer l’utilisation du propre compte bancaire de l’attaquant, ou du compte bancaire d’une mule à son insu. Par conséquent, le regroupement de différents types de cybercriminalité a pour but de se rapprocher le plus possible de l’application de méthodes précises de blanchiment d’argent à des types spécifiques de cybercriminalité.
Ainsi, les types définis de cybercriminalité ont été regroupés dans les catégories suivantes :
– Des fonds illicites sont transférés du compte bancaire de la victime vers des crypto-monnaies.
– Les fonds illicites passent du compte bancaire de la victime au compte bancaire de l’auteur de l’infraction (en connaissance de cause).
– Des fonds illicites sont transférés du compte bancaire de la victime vers le compte bancaire d’une mule (à l’insu de la victime).
– Les fonds illicites sont retirés du compte bancaire de la victime en espèces ou par chèque.
– Suivi de la fraude ; achat direct de biens ou de services
Il convient également de noter qu’un type de cybercriminalité peut correspondre à plusieurs catégories de monétisation. Cela reflète l’idée que la criminalité n’est pas un concept linéaire, et que tous les criminels ne pensent et ne se comportent pas de la même manière, car ils peuvent adopter de nombreuses méthodologies différentes tout en arrivant au même résultat final.
Application à des typologies spécifiques
Du point de vue de la détection automatique, ces catégories générales sont d’une grande utilité. Toutefois, lors de l’examen des alertes suspectes, une compréhension encore plus nuancée est nécessaire. C’est pourquoi nous allons maintenant examiner deux exemples concrets qui illustrent bien les catégories de cybercriminalité.
Exemple 1 : Hushpuppi
La première étude de cas explore les actions illicites du blanchisseur d’argent et organisateur international de mules, Ramon Abbas. Connu de ses 2,5 millions de followers Instagram sous le nom de “Hushpuppi”, Abbas s’est livré à une série d’escroqueries sophistiquées sur Internet, de cyber-braquages et d’attaques BEC (compromission de messagerie d’entreprise) pour dérober un total estimé à 24 millions de dollars à ses victimes tout au long de l’année 2019. Hushpuppi fut arrêté pour ses crimes à son domicile dans les appartements du Palazzo Versace, à Dubaï, en juin 2020.
En suivant le mouvement précis des fonds et en développant une compréhension des flux d’argent et des processus de blanchiment employés par Abbas et ses affiliés, des découvertes importantes concernant le type de comptes bancaires privilégiés, la gamme de techniques de blanchiment employées et l’interconnexion entre les acteurs à travers les sphères de la cybercriminalité et du blanchiment d’argent ont été mises au jour.
Exemple 2 : Ransomware
En étudiant la manière dont les paiements par ransomware (rançongiciel) entrent et circulent dans le système financier, et en identifiant le processus par lequel les agresseurs tirent un avantage financier des ransomware, les institutions financières seront mieux équipées pour repérer les paiements par ransomware qui transitent par leurs systèmes.
En particulier, en étudiant les méthodes de paiement des ransomwares et de blanchiment d’argent utilisées par les acteurs, une série d’indicateurs clés spécifiquement pertinents pour les institutions financières ont été identifiés. Ces indicateurs serviront de base à la simulation d’un paiement par ransomware réalisée par l’équipe de test du crime financier (FTS) de notre société. Cette simulation sera utilisée pour tester l’efficacité des capacités des institutions financières à détecter le paiement par leurs clients d’une demande de rançon.
Dernières réflexions
En fin de compte, en classant les différents types de cybercriminalité, en cartographiant les flux d’argent qui y sont associés et en parvenant à comprendre les moyens typiques utilisés par les acteurs de la menace pour blanchir les produits de la cybercriminalité, il devient possible pour les institutions financières d’identifier des indicateurs potentiels d’activité suspecte. L’objectif de notre équipe FTS (FinCrime Testing Service) est de poursuivre ses recherches sur les différents types de cybercriminalité de manière plus détaillée et d’appliquer les catégorisations afin de mieux comprendre la criminalité. En intégrant ce type d’informations dans la simulation de typologies supplémentaires de cybercriminalité et de criminalité traditionnelle, il est possible de développer une bibliothèque complète de comportements criminels qui permettra d’améliorer les initiatives de détection, de signalement et de conformité des institutions financières, pour un large éventail de typologies.
