Pour pouvoir vous arnaquer, les escrocs font d’abord un peu… de shopping ! Des arnaques « clé en main », il en existe des milliers en vente sur le Dark Web, et on appelle ça la « fraud-as-a-service ». C’est un peu vexant : le pirate qui s’est emparé de toutes vos données personnelles n’était probablement pas un expert de l’informatique. Exit l’image un peu romancée du hacker dans sa chambre sombre, le visage éclairé par un écran rempli de lignes de code. Car de nos jours, tout le monde peut devenir un escroc sur Internet ! Il suffit pour ça d’avoir recours à un… vendeur d’arnaques. La « fraud-as-a-service » (fraude en tant que service) est le petit nom que l’on donne à ce business un peu particulier. Si on peut penser, à première vue, qu’il faut atteindre les recoins les plus profonds du Dark Web pour contacter l’un de ces « magasins d’arnaque », il n’en est de fait absolument rien. Un bon nombre d’entre eux utilisent des plateformes beaucoup plus « mainstream », bien que souvent sulfureuses, telles que par exemple Telegram, qui est un repère de choix pour les arnaqueurs en raison de la relative confidentialité dont ses utilisateurs jouissent. Si, bien entendu, il est un peu difficile de parler du fonctionnement « typique » d’un groupe de vente de « fraud-as-a-service », on peut toutefois noter que ceux-ci sont souvent des gangs assez vastes et très organisés, ou tout un chacun possède un rôle bien défini. On est donc loin de l’anarchie que l’on pourrait imaginer. Il faut dire que le modèle « marketing » de ces groupes de « fraud-as-a-service » est un peu différent de celui que l’on connaît pour des entreprises ayant pignon sur rue. Pas question de faire de la publicité sur les réseaux sociaux, il faut bien souvent aller chercher celui-ci par des moyens non conventionnels. Il n’empêche qu’en dehors de cela, le fonctionnement d’une FaaS ressemble tout de même beaucoup à celui d’une entreprise parfaitement légitime… Parmi les « FaaS » les plus courants, il faut bien sûr d’abord et avant tout parler des kits de phishing : c’est en effet généralement ceux-ci qui sont achetés par des escrocs sans réelles compétences en piratage, leur permettant de pratiquer une arnaque à une échelle particulièrement massive au moyen de bots. Les vendeurs vont néanmoins personnaliser l’arnaque pour la faire correspondre au mieux aux attentes du client. Mais c’est bien entendu loin d’être le seul type d’arnaque qui est revendu. Le « fraud-as-a-service » se distingue donc surtout de la vente de malware par le fait qu’un véritable « service continu » est nécessaire afin de pouvoir opérer l’arnaque dans les « meilleures » conditions. Parfois, on inclut aussi dans cette catégorie la revente d’information, comme des numéros de cartes de crédit volés, par exemple.