Le carding : un business lucratif pour les cybercriminels

  1. Accueil
  2. Actualités
  3. Le carding : un business lucratif pour les cybercriminels

carding greenmachine

Article publié par

Le 17 mars 2014, le distributeur Sally Beauty annonce avoir subi un piratage qui se solde par le vol d’environ 25 000 numéros de cartes de crédit appartenant à leurs client(e)s. Il s’avère que le chiffre avancé par l’enseigne est bien loin de la réalité puisque 280 000 numéros de cartes de crédit auraient finalement été dérobés. Selon certains consultants en sécurité, cette cyberattaque aurait un lien avec celle du distributeur Target, dont 40 millions de clients se sont vus dérober leurs données bancaires entre le 27 novembre et le 15 décembre 2013.

Ces cyberattaques mettent en valeur l’obsolescence des cartes à pistes magnétiques. Aux États-Unis, la NRF, représentant 12 000 distributeurs, se bat pour remplacer ces dernières par des cartes à puces (chip and pin) tel qu’il en existe en Europe depuis quelques décennies.

Au vu des nombreuses attaques similaires à celles évoquées précédemment, on peut légitimement se demander pourquoi les banques américaines continuent à fournir à leurs clients des cartes si faciles à pirater et qui mettent de ce fait en danger leurs informations financières. Le livre de Misha Glenny, Cyber arnaque: Comment les hackers piratent vos cartes bancaire, illustre admirablement bien ce propos.

Profitant de ces récents exemples, un tour sur le Deep Web a permis de se rendre compte – et ce n’est pas une nouveauté – que la vente de données bancaires volées y est monnaie courante. S’il existe des « petites annonces » isolées, certains vendeurs se réunissent au sein de forums dédiés au carding.

carding

carding paypalaccount

Il y a encore quelques années, les données bancaires volées pouvaient se vendre entre 20 et 135 $ environ. Depuis l’affaire Target, les prix ont chuté pour tomber parfois à seulement 0,75 $. De plus, il arrive que certains carders proposent gratuitement des stocks de numéros de cartes bancaires pour « fidéliser le client ».

Comment ces informations se retrouvent-elles sur le web ?

Si les tentatives de phishing et d’envoi de keyloggers ou de trojans par l’intermédiaire de malware peuvent être décelées par les potentielles victimes, il arrive que les informations financières soient directement communiquées à un pirate par une personne travaillant, de près ou de loin, pour la banque de la victime. En Corée du Sud, par exemple, plusieurs dizaines de milliers de personnes ont assaillis leurs banques, mardi 21 janvier 2014, afin de bloquer leurs cartes de crédit après s’être fait voler des données confidentielles. Des informations bancaires de 105 millions de comptes et de cartes de crédit ont en effet été dérobées. L’auteur de la fraude était un employé de Korea Credit Bureau (KCB), une agence d’évaluation des capacités de crédit. Après avoir accumulé les données sensibles sur une clé USB, il les aurait vendues à une société de démarchage par téléphone entre mai 2012 et décembre 2013.

Comment les pirates récupèrent-ils l’argent ?

Pour récupérer l’argent, les pirates recrutent des mules. Il s’agit d’intermédiaires qui recevaient de l’argent sur un compte, le plus souvent PayPal, créé pour l’occasion. Même si cela n’est plus possible actuellement. Ensuite, l’argent était converti en cash et transféré vers l’étranger via des services de mandat international comme Western Union. Enfin, il arrive que la mule garde un petit pourcentage du montant d’argent acheminé pour « service rendu ». Les escrocs montent des entreprises fictives pour recruter leurs mules. Ainsi, il n’est pas rare de recevoir des mails – qui finissent le plus souvent dans le courrier indésirable – qui prennent la forme de petites annonces du type « Emploi bien rémunéré pour faible temps de travail ».

Article rédigé par y4n4udel ([email protected] – FB : Y4n4udel)

Commentaires
Cliquez ici pour ajouter un commentaire

  • Génial! Encore un article de qualité merci bcp!!!

    Répondre
  • Article intéressant merci !

    Répondre
  • Article interressant !!!

    Répondre
  • Salut! J’aime l’article mais aucune image (du moins rien d’autres que des gros carrés gris) :/

    Répondre
  • Bonjour,

    Merci pour ce dossier, cela fais vraiment froid dans le dos.

    Alors en fait, j’ai des questions, le Deep Web, ressemble-t-il au Dark Web ou est-ce pareil ? Comment cela fonctionne ? Existe-t-il d’autre web caché ?

    Et autre chose, je n’ai pas trouvé ou je n’ai pas bien chercher, un article plus détaillé sur le fonctionnement, des virus trojans, keyloggers.

    Dans le dernier article concernant les logiciels utilisé pour 2015, tu me as mentionné de la signature etc.. donc je voulais en savoir un peu plus mais cela n’est pas pressé ^^.

    Merci beaucoup.

    Répondre
  • mouais ont est jamais sûr de ne pas se faire dérober quoi que ce sois xd

    Répondre
  • salut michel super article que cela très intéressant bravo a toi. et encore tu dit pas tout. car sujet pas facile
    à abordée vue les différente façon qui se cache derrière tout cela dans le carding

    le carding comme vous le savez il existe un véritable business d’arnaques et de fraude sur le net.
    certains n’hésitent pas non plus à recruter publiquement.

    interview

    question poser afin d’en savoir plus sur les carders

    carder x la définition la plus courte et complète que je puisse donner et celle qu’on utilise le plus régulièrement.
    le carder est une personne qui va commander sur des sites e-commerce tel que c-discount pour ne citer que lui.

    c’est celui qui va commander l’objet en question et faire de son mieux pour que la transaction soit acceptée
    et que l’objet convoité quitte les entrepôts.

    le carding en général regroupe donc les usurpateurs de coordonnées bancaires ceux qui donc vont nous
    vendre les numéros de carte de crédits. le carder que je viens de citer plus haut et le dropper.

    c’est la personne qui va réceptionner le colis d’un quelconque moyen afin de le renvoyer au carder en échange
    d’argent ou qui va le revendre afin d’envoyer un pourcentage au carder souvent 50/50 il arrive aussi mais

    rarement que le carder drop lui même son colis.

    vous pourriez expliquer le dropping-shipping pour les gens ?
    carder x le drop- shipping et là on parle bien de carding le drop- shipping à de multiples définitions suivant

    comment il est utilisé et par qui il est proposé.

    le drop- shipping donc est souvent proposé par de gros carders qui ont un stock de produit récupérés
    plutôt conséquent on parle là de 50 ipad 30 macbook 80 iphone par exemple.

    le drop- shipper celui qui propose le produit recherche donc des personnes pour vendre ses produits
    sur des sites de vente eBBAY etc. le revendeur celui qui a accepté le contrat va donc mettre des annonces

    sur compte personnel pour vendre les objets du carder / drop-shipper une fois la vente finalisée.
    objet acheté payé. le revendeur va donner la part due au drop-shipper et celui-ci une fois l’argent reçu va

    expédier le colis à l’adresse de l’acheteur. le revendeur dans tout ça conserve tout l’argent qui est au delà
    du montant demandé par le carder.

    imaginons que le carder en demande 250 euro et que la vente s’est finalisée à 564 le revendeur empoche
    314 euro. quelles précautions utilisez vous pour éviter le tracing ?

    carder x alors tout dépend de la mobilité du carder. vous avez des carder qui vont utiliser un netbook
    acheté en cash dans une boutique de reventes d’objet d’occasion comme cash converter afin

    de ne pas être lié à l’ordinateur d’une quelconque façon qu’il soit. et ils utilisent les hotspot mac donald
    hotels hotspot dans la rue tel que sfr et freewifi ils achètent les identifiant qui ont été usurpés à des vivtimes

    de stealer.

    puis se cachent derrière un vpn et un socks selon la localité originale de la carte de crédit qu’ils utilisent.
    d’autres vont utiliser leur propre pc et la connexion du voisin changer leur adresse mac

    changer les dns pour ceux de google se mettre sous vpn se relier à un rdp puis un autre vpn et utiliser le socks
    correspondant à la localité de la carte.

    lorsqu’un carder a dérobé des identifiants de cartes bancaires il lui faut blanchir l’argent ces procédés
    de blanchissement sont appelés cashout.

    pensez vous que la police est efficace et empêche votre travail. la police ne s’occupe pas de ça vraiment !
    c’est à peine si ils prennent les dépôts de plaintes.

    une émission est passé sur france 2 il y a de ça quelle que temps déjà.
    les flics avouaient eux même préférer coincer des dealer dans les cages d’immeuble. c’est direct c’est du
    flagrant déli ça coûte rien et ça augmente les statistiques et là se crée le fameux faux sentiment de sécurité.

    la france n’a ni les moyens financier ni les moyens intellectuels pour le faire.
    vous avez déjà entendu parler d’une brigade contre le cyber crime ? a part la befti qui ne fait qu’arrêter des

    uploaders sur boards warez ? non et encore les uploaders qui se protègent derrière un simple vpn ne se font pas
    avoir. en vérité en france il faut vraiment avoir fait de grosses grosses conneries. la seule façon qu’ils ont

    trouvé pour qu’un carder se fasse c’est faire partir un flic déguisé en livreur de la poste comme le fait la douane
    avec les gros colis de contre façons.

    carder x mais c’est aussi pour ça qu’il y a les droppers.
    vous connaissez la fraude des faux papiers vous y avez déjà eut un quelconque rapport.

    si oui est-ce possible d’avoir votre expérience carder x la fraude réelle non aucunement pour le moment.
    la fraude virtuelle de faux scans rien de bien compliqué des graphistes en herbe sur certains forums

    vous vendent faux justifs de domiciliation faux scans de carte de crédit et tous ça avec toutes les valeurs que
    vous souhaitez pour environ 15 à 25 euro selon la board selon le contact. la qualité du produit etc.

    la fraude aux faux papiers sur une offre un carder nous propose d’accéder à son catalogue sécurisé
    par mot de passe et en suivant ses recommandations. après avoir contacté un de ses carders pour en savoir plus

    sur ce business celui-ci a montrés ses templates éditables.
    il s’agit de fichiers psd; photoshops éditables ainsi les carders peuvent y insérer des noms photos et même
    signature.

    il y a aussi de nombreuses templates pour cartes bancaires et surtout des papiers d’identité.
    les carders se renseignent aussi sur les méthodes employées par la police afin de débusquer ces faux papiers.

    ainsi les carders peuvent bypass dépasser passer outre les systèmes de vérifications mis en oeuvre
    par la police.

    ces derniers n’hésitent pas à développer des logiciels pour parfaire leurs faux papiers. tels que des générateurs
    de codes barres par exemple ou encore la modification des bandes magnétiques.

    Répondre
  • salut michel est encore merci pour les réponse. le sujet est plus que intéressant surtout quand tu pense
    que sur certain sites tu peut avoir toute les information ainsi que les tutoriel pour cela? même pour
    les déboutant . où est la logique vue les danger que cela pose ? après cela on vient te dire que l’on lutte contre

    la fraude et te faire la morale sur les risque et la sécurité ? excuse de dire cela michel mais les gens qui se font
    pirater est après vienne dire qui font tout pour la lutte contre la fraude. l’on bien chercher non ? bien sur

    je parle pas de l’utilisateur ordinaires. je parle de gens donc le travail et de protéger les utilisateur contre toute sorte
    de fraude et arnaques ce sont des pro alors comment cela se fait t’il qui laisse faire des chose de la sorte ?

    laisser des programme où des outils de la sorte dans les mains de gens de toute sorte cela ne semble pas du tout
    normal de leurs part. car utilisateur a bon dos facile de sens prendre a lui. et de dire qui fait rien pour se protéger

    alors que eu même laisse faire. si michel tu peut avoir une réponse sûr cela merci de ne le dire.
    sûr ceux voici un petit truc sympas. point de vue d’un cardeur lors d’un interview .

    analyse complète d’une carte bancaire faite par un cardeur. qui gardera l’anonymat pour sa propre sécurité.

    attention ! tout ce qui est décrit dans ce commentaire est illégale
    et relève de la compétence du code pénal.

    il existe une idée fausse très répandue parmi les gens ordinaires selon laquelle le solde est sur une carte de crédit.
    mais ce n’est pas le cas. l’argent ne repose pas physiquement dessus-la carte de crédit est pour ainsi dire

    un laissez passer sur le compte de la carte à la banque qui l’à émis. en d’autres termes. il procède à l’identification
    du titulaire du compte. s’il peut retirer de l’argent du coffre qui se trouve en banque. le commerçant passe la carte

    par le terminal de point de vente un appareil qui lit les information enregistrées sur la bande magnétique de la carte.
    et communique avec la banque. pour effectuer une transaction. qui se connecte au centre de traitement et y transmet

    les données de votre carte. en outre le traitement contacte la banque émettrice qui a émis la carte et reçoit une confirmation
    ou un refus sous forme d’un code. code d’autorisation réussi-00- approuvé sinon ils obtiennent une interdiction

    de l’affaire. souvent jouée dans les films hollywoodiens désolé votre compte est gelé et coupe démonstrativement
    la carte avec des ciseaux. système de paiement de type visa relie entre eux tous les maillons de cette chaîne

    dont il prélève jusqu’à 3.5 % sur chaque transaction.

    qu’est-ce qu’un dépotoir ? un dump est un ensemble d’informations enregistrées sur la bande magnétique d’une
    carte de crédit. se compose de trois pistes les deux premières sont utilisées directement pour le fonctionnement

    de la carte. et la troisième piste est destinée à enregistrer diverses informations de service. le plus important
    est la deuxième piste. la première piste duplique les données principales de la seconde numéro de carte.

    date d’expiration code cvv et contient également le nom du titulaire de la carte.
    piste 1: b4 55990 75607 84214^ smith /john ^ 110210 10000 00000 00000

    piste 2: 4559907560784214= 11021010000052700000 le code 101 après la date d’expiration de la carte indique
    que la carte est internationale. si au lieu de cela il y a par exemple 201 cela signifie que la carte est locale

    c’est à dire qu’elle ne fonctionne par défaut que dans le pays d’origine. ayant track 2 en main vous pouvez facilement
    générer track 1. mais au contraire c’est assez difficile à faire. pour recevoir de l’argent à partir d’un guichet

    automatique seule la deuxième piste suffit amplement.

    avez – vous eu les décharges ? il y a trois façon pour le moment. lecteurs portables . eng . cardreader. des outils
    pour lire la bande magnétique d’une carte de paiement sont en cours de fabrication ou d’achat.

    les plus petits lecteurs que j’ai rencontrés avaient la taille d’une boîte d’allumettes et ont été fabriqués en ukraine
    par les ingénieurs de boa factory. ensuite les appareils sont distribués aux caissiers. dans les boutiques et les magasins.

    chers aux serveurs dans les restaurants et ils passent la carte client non seulement via un termina de point de vente
    légal. mais également via leur propre lecteur. un grand centre de traitement d’une banque ou d’un réseau commercial

    est piraté. à travers lequel passent les paiements des magasins physiques non virtuels des hôtels des
    restaurants et de la base de leurs clients. ils sont simplement achetés à ceux qui en ont pris possession de l’une

    des manières ci-dessus. les dumps doivent encore être notés sur la carte de crédit elle même.
    bien sûr cela nécessite un dispositif spécial appelé encodeur. ils sont vendus en toute légalité et coûtent 800 -1000$

    le modèle le plus répandu dans le milieu des cardeurs est le msr-206. connecté à un ordinateurs via un port usb
    inséré un dump dans un programme simple passé la carte dans la fente et vous avez entre les mains une copie

    magnétique d’une carte. attention le code de vérification de votre carte bancaire ne devrait jamais être conservé
    en ligne. avec les fêtes . c’est la saison des achats en ligne et donc des fraudes à la carte bancaire.

    avant les criminels utilisaient des cartes de paiement volées ou clonées en personne et effectuaient des transactions
    frauduleuses lorsque la carte était présentée au marchand. cp pour carte présente l’introduction des cartes à puce

    europay. mastercard et visa emv a changé la donne. la fraude par cp s’est compliquée. les pirates sont donc passés
    à la fraude par carte non présente cnp pour carte non présente. c’est à dire à la fraude en ligne.

    on peut voler de nombreux détails de cartes à des détaillants en ligne puis les utiliser pour acheter des articles
    chez d’autres détaillants. mais cela ne devrait pas être aussi simple car les cartes comportent un numéro distinct

    connu sous le nom de code cvv.valeur de vérification de la carte. il s’agit d’un numéro unique à trois chiffres en général
    ou à quatre chiffres. sur les cartes american express imprimé sur la carte. s’il est nécessaire au succès d’une transaction

    il ne doit jamais être conservé en ligne. il vise à prouver au détaillant que le client est bien en possession de la carte.
    malheureusement de nombreuses informations de cartes bancaires fullz sont en vente sur le dark web.

    un fullz est un package vendu illégalement. regroupant les informations requises pour réaliser une transaction en ligne
    et notamment le numéro cvv. pour la plupart des vols de code cvv il faut se pencher sur les attaques de type magecart

    contre les détaillants. à l’origine le terme magecart servait à désigner un gang cybercriminel réalisant un type d’attaque
    spécifique. l’attaque consiste à accéder au système de paiement d’un détaillant puis à utiliser des logiciels

    malveillants pour effacer les détails de la carte en temps réel lorsqu’ils sont saisis pour effectuer un achat. ce type
    d’attaque est appelé écrémage web il s’agit de voler les détails d’une carte de paiement avant qu’ils ne soient

    chiffrés par le détaillant. l’utilisateur et le détaillant ne se rendront compte de rien tant que le logiciel malveillant
    n’aura pas été découvert.

    Répondre

Laisser un commentaire

Menu