Les banques azerbaïdjanaises qui ont courtisé le commerce obscur des produits pharmaceutiques faisant l’objet de publicités pourriels ont maintenant accaparé le marché du traitement des paiements par carte de crédit pour de faux logiciels antivirus, révèlent de nouvelles données.
En juin, BreachTrace a mis en lumière les recherches du Université de Californie, San Diego (UCSD) montrant que Azérigazbank, une institution financière en Azerbaïdjan, était la principale banque d’affaires pour la plupart des principaux programmes d’affiliation de pharmacies frauduleuses en ligne. Au moment où la recherche a été publiée, ces programmes avaient transféré leurs activités dans une autre banque en Azerbaïdjan, Norme bancaire JSCB.
Plus tôt ce mois-ci, des chercheurs du Université de Californie, Santa Barbara (UCSB) a révélé que trois des faux services d’affiliation AV les plus populaires – qui paient des pirates pour imposer des logiciels sans valeur à des internautes ignorants – ont traité des dizaines de millions de dollars de paiements via Bank Standard et le Banque internationale d’Azerbaïdjan.
chercheur à l’UCSD Damon McCoy a effectué des « achats » ciblés sur des dizaines de faux sites audiovisuels, essayant d’identifier leurs banques partenaires. Les fausses opérations audiovisuelles suivies par McCoy sont distinctes de celles de la recherche de l’UCSB ; l’équipe de l’UCSB a demandé que les noms des programmes AV voyous qu’ils ont infiltrés ne soient pas publiés, citant les enquêtes en cours des forces de l’ordre.
Un forum de fraude populaire présente une bannière publicitaire recrutant des affiliés pour BestAV
Fin 2010, McCoy a commencé à acheter des logiciels antivirus malveillants à de fausses entreprises affiliées AV Meilleur AV et Gagarinecash – ce dernier nommé d’après Youri Gagarine, le cosmonaute russe qui fut le premier homme lancé dans l’espace. McCoy a déclaré que les deux fausses opérations audiovisuelles utilisaient auparavant Bank Standard, mais qu’au cours du mois dernier, elles sont passées à la Banque internationale d’Azerbaïdjan.
McCoy a également suivi un faux programme d’affiliation AV plus insaisissable qu’il appelle Win7Security, après la marque de faux AV la plus rentable du programme. McCoy a déclaré qu’au cours des derniers mois, il avait perdu la trace de Win7Security et n’avait vu aucun de ses sites être proxénètes aux endroits habituels, tels que des bannières publicitaires contenant des logiciels malveillants et des sites Web piégés qui redirigent les utilisateurs vers de faux Sites audiovisuels.
Récemment, j’ai entendu une source qui est tombée sur une partie de la base de données clients d’une entreprise de traitement des paiements idpay.com. On ne sait pas où cette société est basée ; elle prétend avoir des bureaux en Russie, à New York et au Royaume-Uni, mais ni NY ni le Royaume-Uni n’ont de trace de cette société, et la société n’a pas répondu aux demandes de commentaires. La base de données idpay.com indique qu’un grand nombre de faux sites Web audiovisuels utilisaient idpay.com pour traiter les paiements (une liste partielle est disponible ici).
McCoy a immédiatement reconnu les fausses marques AV et pages de paiement dans la base de données idpay.com comme le programme Win7Security. Après avoir effectué un achat test sur l’un des sites, il a confirmé qu’il s’agissait d’un client du Banque internationale d’Azerbaïdjan.
« Ces banques azerbaïdjanaises ont accaparé le marché sur ce genre de choses », a déclaré McCoy. « Le seul [widespread fake AV affiliate] programme que j’ai vu qui ne les utilise pas est la marque de faux AV poussé par le Liza Moon attaque plus tôt cette année, qui a utilisé une banque ukrainienne.
La base de données idpay.com a révélé des poissons encore plus gros : parmi les entreprises traitées, il y avait rx-partenaires.comun important programme d’affiliation de pharmacies escrocs qui paie des pirates et des spammeurs pour promouvoir ses sites de pharmacies.
Un autre client intéressant qui traite les paiements via idpay.com est HzMedia Limited. Cette entité appartient à Igor Gusev, le fondateur de GlavMed, l’un des programmes d’affiliation de pharmacies sur Internet les plus importants et les plus spammés au monde, selon les documents de facturation (PDF) l’accusant d’exploiter une entreprise illégale. Gusev a fui la Russie pour éviter de faire face aux accusations criminelles. Joint par téléphone, Gusev a affirmé que son entreprise ne faisait que traiter les paiements pour HzMedia au moment où ces frais ont été prélevés et qu’il n’est pas affilié à HzMedia.
Le président de l’Azerbaïdjan rencontré la semaine dernière des responsables de l’OTAN pour discuter des moyens de promouvoir la cybersécurité, mais d’une manière ou d’une autre, je doute qu’empêcher les Américains de se faire arnaquer figure en bonne place sur la liste des priorités du pays. Selon le World Factbook de la CIA, l’Azerbaïdjan est riche en ressources mais aussi assez pauvre et est aux prises avec des problèmes environnementaux généralisés. La corruption est omniprésente en Azerbaïdjan et sert de principal vecteur de trafic de drogue et d’êtres humains. Compte tenu du volume des principaux paiements liés à la cybercriminalité transitant par les banques azerbaïdjanaises, il faut se demander pourquoi Visa et MasterCard permettrait quelconque Transactions sur Internet des consommateurs aux États-Unis et en Europe vers ces institutions.
Restez à l’écoute pour le quatrième article de cette série, qui approfondira encore plus les liens entre les faux AV et les pharmacies voyous. Si vous avez manqué les deux premiers, consultez les deux principales histoires répertoriées sous « Messages connexes » directement ci-dessous.