Le carding : un business lucratif pour les cybercriminels

Article publié par y4n4udel.

Le 17 mars 2014, le distributeur Sally Beauty annonce avoir subi un piratage qui se solde par le vol d’environ 25 000 numéros de cartes de crédit appartenant à leurs client(e)s. Il s’avère que le chiffre avancé par l’enseigne est bien loin de la réalité puisque 280 000 numéros de cartes de crédit auraient finalement été dérobés. Selon certains consultants en sécurité, cette cyberattaque aurait un lien avec celle du distributeur Target, dont 40 millions de clients se sont vus dérober leurs données bancaires entre le 27 novembre et le 15 décembre 2013.

Ces cyberattaques mettent en valeur l’obsolescence des cartes à pistes magnétiques. Aux États-Unis, la NRF, représentant 12 000 distributeurs, se bat pour remplacer ces dernières par des cartes à puces (chip and pin) tel qu’il en existe en Europe depuis quelques décennies.

Au vu des nombreuses attaques similaires à celles évoquées précédemment, on peut légitimement se demander pourquoi les banques américaines continuent à fournir à leurs clients des cartes si faciles à pirater et qui mettent de ce fait en danger leurs informations financières. Le livre de Misha Glenny, Cyber arnaque: Comment les hackers piratent vos cartes bancaire, illustre admirablement bien ce propos.

Profitant de ces récents exemples, un tour sur le Deep Web a permis de se rendre compte – et ce n’est pas une nouveauté – que la vente de données bancaires volées y est monnaie courante. S’il existe des « petites annonces » isolées, certains vendeurs se réunissent au sein de forums dédiés au carding.

Il y a encore quelques années, les données bancaires volées pouvaient se vendre entre 20 et 135 $ environ. Depuis l’affaire Target, les prix ont chuté pour tomber parfois à seulement 0,75 $. De plus, il arrive que certains carders proposent gratuitement des stocks de numéros de cartes bancaires pour « fidéliser le client ».

Comment ces informations se retrouvent-elles sur le web ?

Si les tentatives de phishing et d’envoi de keyloggers ou de trojans par l’intermédiaire de malware peuvent être décelées par les potentielles victimes, il arrive que les informations financières soient directement communiquées à un pirate par une personne travaillant, de près ou de loin, pour la banque de la victime. En Corée du Sud, par exemple, plusieurs dizaines de milliers de personnes ont assaillis leurs banques, mardi 21 janvier 2014, afin de bloquer leurs cartes de crédit après s’être fait voler des données confidentielles. Des informations bancaires de 105 millions de comptes et de cartes de crédit ont en effet été dérobées. L’auteur de la fraude était un employé de Korea Credit Bureau (KCB), une agence d’évaluation des capacités de crédit. Après avoir accumulé les données sensibles sur une clé USB, il les aurait vendues à une société de démarchage par téléphone entre mai 2012 et décembre 2013.

Comment les pirates récupèrent-ils l’argent ?

Pour récupérer l’argent, les pirates recrutent des mules. Il s’agit d’intermédiaires qui recevaient de l’argent sur un compte, le plus souvent PayPal, créé pour l’occasion. Même si cela n’est plus possible actuellement. Ensuite, l’argent était converti en cash et transféré vers l’étranger via des services de mandat international comme Western Union. Enfin, il arrive que la mule garde un petit pourcentage du montant d’argent acheminé pour « service rendu ». Les escrocs montent des entreprises fictives pour recruter leurs mules. Ainsi, il n’est pas rare de recevoir des mails – qui finissent le plus souvent dans le courrier indésirable – qui prennent la forme de petites annonces du type « Emploi bien rémunéré pour faible temps de travail ».

Article rédigé par y4n4udel ([email protected] – FB : Y4n4udel)