[ad_1]

Au cours de la dernière année, j’ai passé beaucoup de temps à troller une variété de magasins clandestins qui vendent des « dépotoirs » – argot de la rue pour les données de carte de crédit volées que les acheteurs peuvent utiliser pour contrefaire de nouvelles cartes et faire du shopping dans les magasins à grande surface pour marchandises à prix élevé qui peuvent être revendues rapidement contre de l’argent. Pour expliquer ce monde bizarre, cet article emmène le lecteur dans une visite d’un dépotoir plutôt exclusif et professionnel qui s’adresse aux voleurs professionnels, aux acheteurs à gros volume et aux gangs du crime organisé.

mcdumpals rejointLe sujet de ce post est « McDumpals», un magasin de dépotoirs de premier plan qui a été mis en ligne pour la première fois fin avril 2013. Avec les arches dorées familières et le logo bâtard, « je le glisse », la mascotte du site est un Ronald McDonald gangster pointant une arme de poing sur le spectateur. .

Peu importe que ce magasin viole un nombre ridicule de marques de commerce de McDonald’s d’un seul coup : il vend actuellement des cartes volées lors de violations de données dans les magasins de la rue principale de presque tous les États américains.

Comme beaucoup d’autres dépotoirs, McDumpals a récemment commencé à demander aux nouveaux clients potentiels de payer un acompte (~ 100 $) via Bitcoin avant d’être autorisé à voir les marchandises à vendre. Également typique de la plupart des magasins de cartes, la page d’accueil de ce magasin présente les dernières nouvelles sur les nouveaux lots de cartes volées qui viennent d’être ajoutés, ainsi que les réductions de prix sur les anciens lots de cartes moins fiables en tant qu’instruments de fraude.

J’ai mis en place un diaporama (ci-dessous) qui passe en revue de nombreuses mises à jour qui ont été ajoutées à cette boutique depuis sa création. L’un des grands enseignements de ce diaporama est que de nombreux magasins classent désormais leurs produits à vendre selon l’État ou la région de l’entreprise victime.

Il s’agissait d’une innovation majeure que nous avons vue en bonne place dans le magasin de cartes qui était principalement responsable de la vente de cartes volées lors des brèches dans la vente au détail de Target et Sally Beauty : dans ces cas, les acheteurs se voyaient offrir la possibilité de rechercher des cartes par ville, état et le code postal des magasins Target et Sally Beauty dans lesquels ces cartes ont été volées. Les cardeurs expérimentés (comme les acheteurs sont appelés) savent que les banques signalent souvent les transactions comme suspectes si elles ont lieu en dehors des habitudes d’achat géographiques habituelles du titulaire de carte légitime, et les cardeurs ont donc tendance à favoriser les cartes volées aux consommateurs qui vivent à proximité.

Le diaporama peut avoir plus de sens si les lecteurs se familiarisent avec quelques termes et expressions qui apparaissent dans le texte :

GLOSSAIRE DES TERMES:

Base: Un nom arbitraire qu’un magasin de décharges attribue à un lot unique de cartes volées à un marchand compromis particulier ou à un mélange de marchands. Le plus souvent, les bases portent le nom de l’état ou de la région du marchand compromis. Les noms de base permettent aux propriétaires de magasins de décharge d’avoir une convention de dénomination cohérente lors de l’ajout de cartes fraîchement volées d’un marchand spécifique violé. De plus, les noms de base permettent aux clients satisfaits d’avoir un moyen facile de revenir au magasin et de demander plus des mêmes cartes ; à l’inverse, les acheteurs qui réussissent peu à « encaisser » les cartes d’une base particulière disposent d’un cadre de référence pour avertir les autres acheteurs potentiels d’un lot de cartes spécifique (à la « acide brun« ).

Bacs: Abréviation de « numéro d’identification bancaire », il s’agit des six premiers chiffres de toute carte de débit ou de crédit, et il identifie de manière unique l’institution financière qui a émis la carte. Les BIN sont la principale méthode utilisée par les magasins de cartes pour indexer les marchandises à vendre, et tous les acheteurs ont leurs BIN préférés avec lesquels ils ont connu le succès dans le passé. Des dizaines de milliers de BIN sont utilisés aujourd’hui, et peu de personnes légitimement employées dans le secteur bancaire disposent de listes complètes de BIN (que la plupart des banques considèrent comme propriétaires). Pour cela, vous devez généralement vous tourner vers les magasins de cartes professionnels, qui suivent de très près l’utilisation du BIN.

Vérificateur: Une forme d’assurance de l’acheteur, il s’agit d’un service automatisé et facultatif que les clients de la boutique de décharges peuvent utiliser après avoir acheté des cartes pour valider si les cartes qu’ils viennent d’acheter sont toujours actives. La plupart des magasins avancés, y compris celui-ci, ont mis en place des garanties de « satisfait ou remboursé » qui rembourseront automatiquement le prix d’achat de toutes les cartes jugées invalides peu de temps après l’achat des cartes (généralement une fenêtre de quelques minutes à quelques heures), à condition que le client paie les frais supplémentaires (généralement 10 à 20 cents par carte) pour utiliser le service de vérification du magasin.

Cartes à prix réduit vendues en "packs" ou à prix de gros ou de gros.

Cartes à prix réduit vendues en « packs » ou à prix de gros ou de gros.

Décharger: Fait référence à une chaîne de données qui est extraite (généralement par un logiciel malveillant qui infecte les caisses enregistreuses ou les appareils de point de vente chez les commerçants compromis) de la bande magnétique au dos des cartes. Les acheteurs reçoivent généralement un fichier texte contenant tous leurs vidages. Ces enregistrements de vidage individuels – lorsqu’ils sont encodés sur une nouvelle bande magnétique sur pratiquement tout ce qui a la taille d’une carte de crédit – peuvent être utilisés pour acheter des marchandises volées dans les magasins à grande surface.

Forfaits : De gros lots de décharges (souvent de divers marchands piratés dans une région particulière) – vendus à des prix de gros. Comme nous pouvons le voir sur la capture d’écran ci-dessus à gauche, McDumpals vend des packs de dumps de plus de 1 000 cartes à la fois. Par exemple, dans la capture d’écran ci-dessus, le site propose un pack de 1 245 cartes volées il y a deux mois dans des magasins du Massachusetts et du Connecticut pour le prix avantageux de 10 500 USD.

Base de première main: Un lot de cartes volées dans une brèche marchande dans laquelle le propriétaire de la boutique de décharges lui-même a joué un rôle clé. Les multiples bases de quelque 40 millions de cartes volées dans la brèche Target et revendues via rescator[dot]est donc probablement le plus grand exemple que j’ai vu d’une base de première main.

Revendeur : La plupart des dépotoirs dépendent de plusieurs fournisseurs de cartes volées. Contrairement au sens conventionnel du mot, ces voleurs fournissent des cartes qui ne sont vendues nulle part ailleurs ; une fois qu’une carte est vendue, elle est retirée du marché, et tous les fournisseurs reconnus coupables de double diping sont rapidement bannis de la communauté des dépotoirs. Au lieu de cela, les revendeurs volent simplement les cartes et les revendent ensuite au magasin de décharges.

Tarif valable : La meilleure estimation du magasin de décharges sur le pourcentage de cartes d’une base donnée qui reviendront comme valides par rapport à annulées par la banque émettrice. Si une base est annoncée à un taux de validité de 70 %, les clients peuvent s’attendre à ce qu’en moyenne 3 cartes sur 10 qu’ils achètent auprès de cette base soient sans valeur. Les cartes annoncées à des taux valides supérieurs à 90 % exigent généralement les prix les plus élevés et sont un indicateur fort d’une violation qui vient tout juste d’être découverte par le commerçant ou certaines des plus grandes institutions financières. Pour des exemples plus détaillés de la manière dont les tarifs valides sont étroitement liés au prix des cartes volées, voir Fire Sale on Cards Stolen in Target Breach et Sally Beauty Hit By Credit Card Breach.

Si le diaporama suivant n’est pas visible, vous devrez peut-être activer les scripts sur cette page à partir de knightlab.com, un Université du nord-ouest initiative conjointe de École de journalisme Medill, médias, communications marketing intégrées et le École d’ingénierie et de sciences appliquées Robert R. McCormick.

Les gens me demandent souvent si je m’inquiète pour les achats en ligne. Ces jours-ci, je m’inquiète davantage des achats dans les magasins de la rue principale. McDumpals n’est qu’un magasin de décharges, et il ajoute de nombreuses nouvelles bases chaque semaine. Il existe des dizaines de magasins de cartes comme celui-ci dans le métro (certains plus exclusifs que d’autres), tous vendant des bases de marchands uniques et compromis.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *