Un Ukrainien qui a revendiqué l’organisation d’une campagne d’envoi d’héroïne chez moi l’été dernier a été arrêté en Italie, soupçonné de trafic de comptes de cartes de crédit volés, entre autres, a appris BreachTrace.com.
Photo de passeport pour Sergei « Fly » Vovnenko. Il a été arrêté à Naples, en Italie, au début du mois.
L’été dernier, à propos de rien, un infâme cyberescroc connu sous le nom de « Voler, » « Casse-Mouche » et « Muxacc” a commencé à m’envoyer des tweets profanateurs et moqueurs. En plus de cela, il a publié mon rapport de solvabilité sur son blog et a changé sa photo de profil Twitter en une image d’une figurine d’action tenant ma tête coupée.
La seule chose que je savais à propos de Fly à l’époque, c’est qu’il était le fondateur et l’administrateur d’un forum criminel en langue russe étroitement surveillé appelé thecc.bz (la partie « cc » faisant référence aux cartes de crédit). Fly était également un modérateur de confiance sur Mazafakal’un des forums de cardage russes les plus exclusifs et les plus vénérables en ligne aujourd’hui.
Peu de temps après que Fly ait commencé à envoyer ces tweets désagréables, j’ai secrètement eu accès à son forum, où j’ai appris qu’il avait ourdi un complot pour acheter de l’héroïne sur le Route de la soiefaites-le expédier chez moi, puis usurpez un appel d’un de mes voisins à la police locale lorsque la drogue est arrivée (voir Courrier du Velvet Cybercrime Underground).
Heureusement, j’ai pu avertir les flics à l’avance, même suivre le colis avec le reste des membres du forum grâce à un lien de suivi USPS que Fly avait publié dans un fil de discussion sur son forum.
En colère que j’aie déjoué son plan de me faire arrêter pour possession de drogue, Fly a demandé à un fleuriste local d’envoyer chez moi un arrangement floral voyant en forme de croix géante, accompagné d’un message menaçant qui s’adressait à ma femme et était signé, « Crabes de velours. »
Irina Gumenyuk-Vovnenko répertorie sa ville natale comme Naples dans son profil Odnoklassniki.ru.
Après cet incident, je suis devenu intensément curieux de connaître l’identité de cet individu Fly, alors j’ai commencé à parcourir les bases de données de cartes piratées et de forums sur la cybercriminalité. Ma première véritable percée est survenue lorsque la société russe d’informatique judiciaire Groupe-IB fourni une pièce clé du puzzle (ils ont également été très utiles pour la recherche d’héroïne). Group-IB a constaté que sur le défunt vulnérabilités[dot]comFly a maintenu un compte sous le surnom de Flycracker et s’est inscrit avec l’adresse e-mail [email protected] (.c’est le code du pays pour l’Italie).
Selon une source fiable de la communauté de la sécurité, ce compte de messagerie a été compromis d’une manière ou d’une autre l’année dernière. La source a déclaré que le compte était plein de rapports envoyés par e-mail à partir d’un appareil d’enregistrement de frappe lié à une autre adresse e-mail – [email protected] (selon Google, [email protected] est l’adresse e-mail de récupération pour [email protected]).
Ces rapports de keylog contenaient des informations précieuses, et a indiqué que Fly avait planté un enregistreur de frappe sur l’ordinateur de sa femme Irina. À plusieurs reprises, ces e-mails montrent que la femme de Fly a tapé son adresse Gmail, qui comprenait son vrai nom et prénom – Irina Gumenyuk.
Plus tard, Gumenyuk changera le nom de famille sur ses différents profils de réseaux sociaux en ligne pour Vovnenko. Elle a même mentionné son mari par son nom à plusieurs reprises dans des e-mails à des amis, l’identifiant comme « Sergei Vovnenko », 28 ans. Les informations de paiement contenues dans ces e-mails – y compris l’expédition et d’autres informations sur le compte – placent l’heureux couple et leur jeune fils à Naples, en Italie.
Fly répond à mes messages directs en lui disant que je connais son vrai nom et où il habite.
La semaine dernière, les administrateurs du forum Mazafaka ont commencé à supprimer le compte et les messages de Fly du forum. Ils le font généralement lorsqu’un de leurs membres est soupçonné d’avoir été arrêté par la police, mais dans ce cas, personne sur Maza ne semblait savoir ce qu’était devenu Fly. Une chose était douloureusement claire, le forum de Fly – thecc[dot]bz – était hors ligne depuis près d’une semaine et personne n’avait entendu parler de Fly depuis aussi longtemps.
Selon les informations recueillies à partir des différents profils de réseaux sociaux de Vovnenko, il est né à Saint-Pétersbourg, en Russie, mais est citoyen ukrainien. Ni Sergei ni Irina Vovnenko n’ont répondu aux demandes de commentaires.
Une source gouvernementale a confirmé que Vovnenko avait été arrêté au début du mois à Naples après une enquête conjointe menée par des agents des forces de l’ordre italiens et américains. Une autre source gouvernementale a déclaré que Vovnenko avait été arrêté alors qu’il transportait des documents d’identité sous un nom d’emprunt – Sergueï Volneov. Il serait détenu dans une prison italienne en attendant d’être extradé vers les États-Unis, bien qu’il puisse d’abord être jugé en Italie.
Les enquêteurs disent à BreachTrace que Vovnenko achetait régulièrement des décharges de cartes de crédit italiennes et encaissait les cartes volées dans des magasins italiens haut de gamme, et qu’il possède une variété d’équipements pour gaufrer et imprimer des cartes de crédit.
Ce cas est un autre rappel que personne n’est anonyme et que la sécurité opérationnelle est difficile à bien faire de manière cohérente. Mais voici un conseil de pro : si vous êtes un grand cybercriminel et que vous prévoyez d’enregistrer l’ordinateur de votre conjoint, il est probablement préférable de supprimer les messages une fois que vous les avez lus.
Fly s’identifie comme « Sergei » dans un e-mail concernant le changement du numéro d’identification du véhicule (VIN) sur une Mercedes Benz E250 2010. Il énumère un numéro de téléphone portable en Italie.