Apple: comment des cybercriminels sont parvenus à voler 400.000 dollars à des clients de l'Apple Store

Profiter des largesses d'Apple devient visiblement un moyen de s'enrichir facilement. C'est en tout cas ce qu'a repéré 9to5Mac, qui relate la trouvaille du groupe de chercheurs en cybersécurité Black Hat Asia. Des voleurs ont ainsi pu subtiliser pour 400.000 dollars de produits en utilisant la possibilité offerte par l'Apple Store en ligne de donner la possibilité à un tiers d'aller chercher un produit.

Tout part d'abord du vol de cartes de crédit (via des techniques de phishing), expliquent Gyuyeon Kim et Hyunho Cho, de l'institut de sécurité financière de Corée du Sud. Une fois la carte en leur possession, les criminels utilisent la politique d'Apple, qui permet tout simplement à quelqu'un d'autre d'aller chercher un produit que vous avez préalablement commandé et payé en ligne.

"L'objectif ultime de cette opération est de réaliser un gain financier," révèlent les deux chercheurs.

Les cybercriminels vont d'abord vendre un produit Apple sur un site de petites annonces. Une fois la vente conclue avec un acheteur, ils utilisent une carte de crédit volée pour acheter le produit neuf sur l'Apple Store en ligne.

Apple refuse de coopérer à l'enquête

Au lieu de choisir une expédition classique, les malandrins choisissent ensuite la possibilité qu'un tiers de confiance récupère l'appareil. L'acheteur du produit via une petite annonce est alors invité à aller récupérer le produit avec sa pièce d'identité et le QR Code de la commande, après avoir été désigné comme tiers de confiance.

Les deux chercheurs expliquent que des produits Apple, comme l'iPhone 15, sont vendus à des prix non suspects pour à la fois paraître intéressants financièrement, et aussi pour ne pas éveiller les soupçons des sites concernés.

Durant leur enquête, les chercheurs ont néanmoins dû faire face à l'opposition d'Apple de coopérer avec eux, alors même qu'ils avaient mis la main sur un paiement de 10.000 dollars dans un de leurs magasins. Pire encore, "l'entrave à l'enquête" de la part du constructeur a mené à des retards dans la prise en compte de cette arnaque, qui aurait déjà coûté plus de 400.000 dollars aux victimes en deux ans.

Selon Black Hat Asia, les cybercriminels se situeraient en Chine, en raison de sites de phishing immatriculés chez un fournisseur d'accès local. Si l'enquête ne concerne que le Japon et la Corée du Sud, cette technique est cependant possible ailleurs, révèlent les chercheurs.