Le carding : un business lucratif pour les cybercriminels
Article publié par
Le 17 mars 2014, le distributeur Sally Beauty annonce avoir subi un piratage qui se solde par le vol d’environ 25 000 numéros de cartes de crédit appartenant à leurs client(e)s. Il s’avère que le chiffre avancé par l’enseigne est bien loin de la réalité puisque 280 000 numéros de cartes de crédit auraient finalement été dérobés. Selon certains consultants en sécurité, cette cyberattaque aurait un lien avec celle du distributeur Target, dont 40 millions de clients se sont vus dérober leurs données bancaires entre le 27 novembre et le 15 décembre 2013.
Ces cyberattaques mettent en valeur l’obsolescence des cartes à pistes magnétiques. Aux États-Unis, la NRF, représentant 12 000 distributeurs, se bat pour remplacer ces dernières par des cartes à puces (chip and pin) tel qu’il en existe en Europe depuis quelques décennies.
Au vu des nombreuses attaques similaires à celles évoquées précédemment, on peut légitimement se demander pourquoi les banques américaines continuent à fournir à leurs clients des cartes si faciles à pirater et qui mettent de ce fait en danger leurs informations financières. Le livre de Misha Glenny, Cyber arnaque: Comment les hackers piratent vos cartes bancaire, illustre admirablement bien ce propos.
Profitant de ces récents exemples, un tour sur le Deep Web a permis de se rendre compte – et ce n’est pas une nouveauté – que la vente de données bancaires volées y est monnaie courante. S’il existe des « petites annonces » isolées, certains vendeurs se réunissent au sein de forums dédiés au carding.
Il y a encore quelques années, les données bancaires volées pouvaient se vendre entre 20 et 135 $ environ. Depuis l’affaire Target, les prix ont chuté pour tomber parfois à seulement 0,75 $. De plus, il arrive que certains carders proposent gratuitement des stocks de numéros de cartes bancaires pour « fidéliser le client ».
Comment ces informations se retrouvent-elles sur le web ?
Si les tentatives de phishing et d’envoi de keyloggers ou de trojans par l’intermédiaire de malware peuvent être décelées par les potentielles victimes, il arrive que les informations financières soient directement communiquées à un pirate par une personne travaillant, de près ou de loin, pour la banque de la victime. En Corée du Sud, par exemple, plusieurs dizaines de milliers de personnes ont assaillis leurs banques, mardi 21 janvier 2014, afin de bloquer leurs cartes de crédit après s’être fait voler des données confidentielles. Des informations bancaires de 105 millions de comptes et de cartes de crédit ont en effet été dérobées. L’auteur de la fraude était un employé de Korea Credit Bureau (KCB), une agence d’évaluation des capacités de crédit. Après avoir accumulé les données sensibles sur une clé USB, il les aurait vendues à une société de démarchage par téléphone entre mai 2012 et décembre 2013.
Comment les pirates récupèrent-ils l’argent ?
Pour récupérer l’argent, les pirates recrutent des mules. Il s’agit d’intermédiaires qui recevaient de l’argent sur un compte, le plus souvent PayPal, créé pour l’occasion. Même si cela n’est plus possible actuellement. Ensuite, l’argent était converti en cash et transféré vers l’étranger via des services de mandat international comme Western Union. Enfin, il arrive que la mule garde un petit pourcentage du montant d’argent acheminé pour « service rendu ». Les escrocs montent des entreprises fictives pour recruter leurs mules. Ainsi, il n’est pas rare de recevoir des mails – qui finissent le plus souvent dans le courrier indésirable – qui prennent la forme de petites annonces du type « Emploi bien rémunéré pour faible temps de travail ».
Article rédigé par y4n4udel ([email protected] – FB : Y4n4udel)
9 Commentaires
Cliquez ici pour ajouter un commentaire
Génial! Encore un article de qualité merci bcp!!!
Article intéressant merci !
Article interressant !!!
Salut! J’aime l’article mais aucune image (du moins rien d’autres que des gros carrés gris) :/
Salut et merci pour ton intérêt ! Le problème devrait être résolu
Bonjour,
Merci pour ce dossier, cela fais vraiment froid dans le dos.
Alors en fait, j’ai des questions, le Deep Web, ressemble-t-il au Dark Web ou est-ce pareil ? Comment cela fonctionne ? Existe-t-il d’autre web caché ?
Et autre chose, je n’ai pas trouvé ou je n’ai pas bien chercher, un article plus détaillé sur le fonctionnement, des virus trojans, keyloggers.
Dans le dernier article concernant les logiciels utilisé pour 2015, tu me as mentionné de la signature etc.. donc je voulais en savoir un peu plus mais cela n’est pas pressé ^^.
Merci beaucoup.
mouais ont est jamais sûr de ne pas se faire dérober quoi que ce sois xd
salut michel super article que cela très intéressant bravo a toi. et encore tu dit pas tout. car sujet pas facile
à abordée vue les différente façon qui se cache derrière tout cela dans le carding
le carding comme vous le savez il existe un véritable business d’arnaques et de fraude sur le net.
certains n’hésitent pas non plus à recruter publiquement.
interview
question poser afin d’en savoir plus sur les carders
carder x la définition la plus courte et complète que je puisse donner et celle qu’on utilise le plus régulièrement.
le carder est une personne qui va commander sur des sites e-commerce tel que c-discount pour ne citer que lui.
c’est celui qui va commander l’objet en question et faire de son mieux pour que la transaction soit acceptée
et que l’objet convoité quitte les entrepôts.
le carding en général regroupe donc les usurpateurs de coordonnées bancaires ceux qui donc vont nous
vendre les numéros de carte de crédits. le carder que je viens de citer plus haut et le dropper.
c’est la personne qui va réceptionner le colis d’un quelconque moyen afin de le renvoyer au carder en échange
d’argent ou qui va le revendre afin d’envoyer un pourcentage au carder souvent 50/50 il arrive aussi mais
rarement que le carder drop lui même son colis.
vous pourriez expliquer le dropping-shipping pour les gens ?
carder x le drop- shipping et là on parle bien de carding le drop- shipping à de multiples définitions suivant
comment il est utilisé et par qui il est proposé.
le drop- shipping donc est souvent proposé par de gros carders qui ont un stock de produit récupérés
plutôt conséquent on parle là de 50 ipad 30 macbook 80 iphone par exemple.
le drop- shipper celui qui propose le produit recherche donc des personnes pour vendre ses produits
sur des sites de vente eBBAY etc. le revendeur celui qui a accepté le contrat va donc mettre des annonces
sur compte personnel pour vendre les objets du carder / drop-shipper une fois la vente finalisée.
objet acheté payé. le revendeur va donner la part due au drop-shipper et celui-ci une fois l’argent reçu va
expédier le colis à l’adresse de l’acheteur. le revendeur dans tout ça conserve tout l’argent qui est au delà
du montant demandé par le carder.
imaginons que le carder en demande 250 euro et que la vente s’est finalisée à 564 le revendeur empoche
314 euro. quelles précautions utilisez vous pour éviter le tracing ?
carder x alors tout dépend de la mobilité du carder. vous avez des carder qui vont utiliser un netbook
acheté en cash dans une boutique de reventes d’objet d’occasion comme cash converter afin
de ne pas être lié à l’ordinateur d’une quelconque façon qu’il soit. et ils utilisent les hotspot mac donald
hotels hotspot dans la rue tel que sfr et freewifi ils achètent les identifiant qui ont été usurpés à des vivtimes
de stealer.
puis se cachent derrière un vpn et un socks selon la localité originale de la carte de crédit qu’ils utilisent.
d’autres vont utiliser leur propre pc et la connexion du voisin changer leur adresse mac
changer les dns pour ceux de google se mettre sous vpn se relier à un rdp puis un autre vpn et utiliser le socks
correspondant à la localité de la carte.
lorsqu’un carder a dérobé des identifiants de cartes bancaires il lui faut blanchir l’argent ces procédés
de blanchissement sont appelés cashout.
pensez vous que la police est efficace et empêche votre travail. la police ne s’occupe pas de ça vraiment !
c’est à peine si ils prennent les dépôts de plaintes.
une émission est passé sur france 2 il y a de ça quelle que temps déjà.
les flics avouaient eux même préférer coincer des dealer dans les cages d’immeuble. c’est direct c’est du
flagrant déli ça coûte rien et ça augmente les statistiques et là se crée le fameux faux sentiment de sécurité.
la france n’a ni les moyens financier ni les moyens intellectuels pour le faire.
vous avez déjà entendu parler d’une brigade contre le cyber crime ? a part la befti qui ne fait qu’arrêter des
uploaders sur boards warez ? non et encore les uploaders qui se protègent derrière un simple vpn ne se font pas
avoir. en vérité en france il faut vraiment avoir fait de grosses grosses conneries. la seule façon qu’ils ont
trouvé pour qu’un carder se fasse c’est faire partir un flic déguisé en livreur de la poste comme le fait la douane
avec les gros colis de contre façons.
carder x mais c’est aussi pour ça qu’il y a les droppers.
vous connaissez la fraude des faux papiers vous y avez déjà eut un quelconque rapport.
si oui est-ce possible d’avoir votre expérience carder x la fraude réelle non aucunement pour le moment.
la fraude virtuelle de faux scans rien de bien compliqué des graphistes en herbe sur certains forums
vous vendent faux justifs de domiciliation faux scans de carte de crédit et tous ça avec toutes les valeurs que
vous souhaitez pour environ 15 à 25 euro selon la board selon le contact. la qualité du produit etc.
la fraude aux faux papiers sur une offre un carder nous propose d’accéder à son catalogue sécurisé
par mot de passe et en suivant ses recommandations. après avoir contacté un de ses carders pour en savoir plus
sur ce business celui-ci a montrés ses templates éditables.
il s’agit de fichiers psd; photoshops éditables ainsi les carders peuvent y insérer des noms photos et même
signature.
il y a aussi de nombreuses templates pour cartes bancaires et surtout des papiers d’identité.
les carders se renseignent aussi sur les méthodes employées par la police afin de débusquer ces faux papiers.
ainsi les carders peuvent bypass dépasser passer outre les systèmes de vérifications mis en oeuvre
par la police.
ces derniers n’hésitent pas à développer des logiciels pour parfaire leurs faux papiers. tels que des générateurs
de codes barres par exemple ou encore la modification des bandes magnétiques.
salut michel est encore merci pour les réponse. le sujet est plus que intéressant surtout quand tu pense
que sur certain sites tu peut avoir toute les information ainsi que les tutoriel pour cela? même pour
les déboutant . où est la logique vue les danger que cela pose ? après cela on vient te dire que l’on lutte contre
la fraude et te faire la morale sur les risque et la sécurité ? excuse de dire cela michel mais les gens qui se font
pirater est après vienne dire qui font tout pour la lutte contre la fraude. l’on bien chercher non ? bien sur
je parle pas de l’utilisateur ordinaires. je parle de gens donc le travail et de protéger les utilisateur contre toute sorte
de fraude et arnaques ce sont des pro alors comment cela se fait t’il qui laisse faire des chose de la sorte ?
laisser des programme où des outils de la sorte dans les mains de gens de toute sorte cela ne semble pas du tout
normal de leurs part. car utilisateur a bon dos facile de sens prendre a lui. et de dire qui fait rien pour se protéger
alors que eu même laisse faire. si michel tu peut avoir une réponse sûr cela merci de ne le dire.
sûr ceux voici un petit truc sympas. point de vue d’un cardeur lors d’un interview .
analyse complète d’une carte bancaire faite par un cardeur. qui gardera l’anonymat pour sa propre sécurité.
attention ! tout ce qui est décrit dans ce commentaire est illégale
et relève de la compétence du code pénal.
il existe une idée fausse très répandue parmi les gens ordinaires selon laquelle le solde est sur une carte de crédit.
mais ce n’est pas le cas. l’argent ne repose pas physiquement dessus-la carte de crédit est pour ainsi dire
un laissez passer sur le compte de la carte à la banque qui l’à émis. en d’autres termes. il procède à l’identification
du titulaire du compte. s’il peut retirer de l’argent du coffre qui se trouve en banque. le commerçant passe la carte
par le terminal de point de vente un appareil qui lit les information enregistrées sur la bande magnétique de la carte.
et communique avec la banque. pour effectuer une transaction. qui se connecte au centre de traitement et y transmet
les données de votre carte. en outre le traitement contacte la banque émettrice qui a émis la carte et reçoit une confirmation
ou un refus sous forme d’un code. code d’autorisation réussi-00- approuvé sinon ils obtiennent une interdiction
de l’affaire. souvent jouée dans les films hollywoodiens désolé votre compte est gelé et coupe démonstrativement
la carte avec des ciseaux. système de paiement de type visa relie entre eux tous les maillons de cette chaîne
dont il prélève jusqu’à 3.5 % sur chaque transaction.
qu’est-ce qu’un dépotoir ? un dump est un ensemble d’informations enregistrées sur la bande magnétique d’une
carte de crédit. se compose de trois pistes les deux premières sont utilisées directement pour le fonctionnement
de la carte. et la troisième piste est destinée à enregistrer diverses informations de service. le plus important
est la deuxième piste. la première piste duplique les données principales de la seconde numéro de carte.
date d’expiration code cvv et contient également le nom du titulaire de la carte.
piste 1: b4 55990 75607 84214^ smith /john ^ 110210 10000 00000 00000
piste 2: 4559907560784214= 11021010000052700000 le code 101 après la date d’expiration de la carte indique
que la carte est internationale. si au lieu de cela il y a par exemple 201 cela signifie que la carte est locale
c’est à dire qu’elle ne fonctionne par défaut que dans le pays d’origine. ayant track 2 en main vous pouvez facilement
générer track 1. mais au contraire c’est assez difficile à faire. pour recevoir de l’argent à partir d’un guichet
automatique seule la deuxième piste suffit amplement.
avez – vous eu les décharges ? il y a trois façon pour le moment. lecteurs portables . eng . cardreader. des outils
pour lire la bande magnétique d’une carte de paiement sont en cours de fabrication ou d’achat.
les plus petits lecteurs que j’ai rencontrés avaient la taille d’une boîte d’allumettes et ont été fabriqués en ukraine
par les ingénieurs de boa factory. ensuite les appareils sont distribués aux caissiers. dans les boutiques et les magasins.
chers aux serveurs dans les restaurants et ils passent la carte client non seulement via un termina de point de vente
légal. mais également via leur propre lecteur. un grand centre de traitement d’une banque ou d’un réseau commercial
est piraté. à travers lequel passent les paiements des magasins physiques non virtuels des hôtels des
restaurants et de la base de leurs clients. ils sont simplement achetés à ceux qui en ont pris possession de l’une
des manières ci-dessus. les dumps doivent encore être notés sur la carte de crédit elle même.
bien sûr cela nécessite un dispositif spécial appelé encodeur. ils sont vendus en toute légalité et coûtent 800 -1000$
le modèle le plus répandu dans le milieu des cardeurs est le msr-206. connecté à un ordinateurs via un port usb
inséré un dump dans un programme simple passé la carte dans la fente et vous avez entre les mains une copie
magnétique d’une carte. attention le code de vérification de votre carte bancaire ne devrait jamais être conservé
en ligne. avec les fêtes . c’est la saison des achats en ligne et donc des fraudes à la carte bancaire.
avant les criminels utilisaient des cartes de paiement volées ou clonées en personne et effectuaient des transactions
frauduleuses lorsque la carte était présentée au marchand. cp pour carte présente l’introduction des cartes à puce
europay. mastercard et visa emv a changé la donne. la fraude par cp s’est compliquée. les pirates sont donc passés
à la fraude par carte non présente cnp pour carte non présente. c’est à dire à la fraude en ligne.
on peut voler de nombreux détails de cartes à des détaillants en ligne puis les utiliser pour acheter des articles
chez d’autres détaillants. mais cela ne devrait pas être aussi simple car les cartes comportent un numéro distinct
connu sous le nom de code cvv.valeur de vérification de la carte. il s’agit d’un numéro unique à trois chiffres en général
ou à quatre chiffres. sur les cartes american express imprimé sur la carte. s’il est nécessaire au succès d’une transaction
il ne doit jamais être conservé en ligne. il vise à prouver au détaillant que le client est bien en possession de la carte.
malheureusement de nombreuses informations de cartes bancaires fullz sont en vente sur le dark web.
un fullz est un package vendu illégalement. regroupant les informations requises pour réaliser une transaction en ligne
et notamment le numéro cvv. pour la plupart des vols de code cvv il faut se pencher sur les attaques de type magecart
contre les détaillants. à l’origine le terme magecart servait à désigner un gang cybercriminel réalisant un type d’attaque
spécifique. l’attaque consiste à accéder au système de paiement d’un détaillant puis à utiliser des logiciels
malveillants pour effacer les détails de la carte en temps réel lorsqu’ils sont saisis pour effectuer un achat. ce type
d’attaque est appelé écrémage web il s’agit de voler les détails d’une carte de paiement avant qu’ils ne soient
chiffrés par le détaillant. l’utilisateur et le détaillant ne se rendront compte de rien tant que le logiciel malveillant
n’aura pas été découvert.