Les histoires passées ici ont exploré la myriade d’utilisations criminelles d’un ordinateur piraté, les différentes façons dont votre boîte de réception peut être épissée et découpée pour aider les cybercriminels à exercer leur métier et la valeur d’une entreprise piratée. L’article d’aujourd’hui examine le prix des informations d’identification volées pour à peu près n’importe quel site de commerce électronique, site bancaire ou service en ligne populaire, et donne un aperçu de la fortune qu’un voleur d’informations d’identification entreprenant peut gagner en vendant ces comptes en consignation.
Il n’y a pas si longtemps, à l’ère d’Internet, votre cybercriminel typique cherchant à accéder à un site Web spécifique protégé par un mot de passe visitait très probablement un forum clandestin et pingait l’un des nombreux malfaiteurs qui louaient régulièrement l’accès à leurs «journaux de robots».
Ces vendeurs de journaux de bots étaient essentiellement des criminels qui exploitaient de grands botnets (collections de PC piratés) alimentés par des logiciels malveillants capables de sniffer tous les mots de passe stockés dans le navigateur Web de la victime ou les informations d’identification soumises dans un formulaire de connexion Web. Pour quelques dollars en monnaie virtuelle, un bon à rien pourrait acheter l’accès à ces journaux, ou bien lui et le botmaster conviendraient à l’avance d’un prix pour toute information d’identification de compte spécifique recherchée par l’acheteur.
À l’époque, la plupart des informations d’identification volées qu’un botmaster pouvait avoir en sa possession étaient généralement inutilisées ou invendues (à l’exception de la connexion bancaire occasionnelle qui conduisait à un compte juteux de grande valeur). En effet, ces produits abondants détenus par le botmaster pour la plupart n’étaient tout simplement pas un secteur d’activité super rentable et ont donc été largement gaspillés, comme des morceaux de détritus numériques laissés sur le sol de la salle de coupe.
Mais oh, comme les temps ont changé ! Avec des dizaines de sites clandestins en concurrence pour acheter et revendre des informations d’identification pour une variété d’emplacements en ligne, il n’a jamais été aussi facile pour un botmaster de gagner sa vie en se basant uniquement sur la vente de noms d’utilisateur et de mots de passe volés.
Si le vieil adage selon lequel une image vaut mille mots est vrai, celui ci-dessous est inestimable car il illustre à quel point l’activité de revente d’informations d’identification est devenue rentable.
Cette capture d’écran montre le panneau des revenus d’un escroc qui vend des informations d’identification volées pour des centaines de sites Web à un service Web sombre qui les revend. Ce botmaster n’est payé que lorsque quelqu’un achète l’une de ses informations d’identification. Jusqu’à présent cette année, les clients de ce service ont acheté plus de 35 000 identifiants qu’il a vendus à ce service, ce qui lui a rapporté plus de 288 000 dollars en quelques mois seulement.
L’image ci-dessus est la division grossiste de « Le paradis des cardeurs», un service Web sombre animé qui vend des informations d’identification pour des centaines de destinations Web populaires. La capture d’écran ci-dessus est un panneau de revenus semblable à ce que vous verriez si vous étiez un vendeur d’informations d’identification volées à ce service – d’où la désignation « Le paradis du vendeur » dans le coin supérieur gauche de la capture d’écran.
Cette capture d’écran a été tirée du compte connecté appartenant à l’un des vendeurs les plus prospères de Carder’s Paradise. Nous pouvons voir qu’au cours des sept premiers mois de 2017, ce botmaster a vendu environ 35 000 paires d’identifiants via le marché de Carder’s Paradise, ce qui lui a rapporté plus de 288 000 $. Cela représente une moyenne de 8,19 $ pour chaque identifiant vendu via le service.
Gardez à l’esprit que ce botmaster ne gagne de l’argent qu’en consignation: Indépendamment de la quantité qu’il télécharge sur Seller’s Paradise, il n’est payé pour rien à moins qu’un client de Carder’s Paradise ne choisisse d’acheter ce qu’il vend.
Heureusement pour ce type, près de 9 000 clients différents de Carder’s Paradise ont choisi d’acheter une ou plusieurs de ses paires nom d’utilisateur et mot de passe. Il n’a pas été possible de dire à partir du compte de ce vendeur combien de paires d’identifiants au total il a contribué à ce service qui n’a pas été vendu, mais il y a fort à parier que c’était bien plus de 35 000.
[A side note is in order here because there is some delicious irony in the backstory behind the screenshot above: The only reason a source of mine was able to share it with me was because this particular seller re-used the same email address and password across multiple unrelated cybercrime services].
Sur la base des prix annoncés chez Carder’s Paradise (encore une fois, Carder’s Paradise est le côté vente au détail/client de Seller’s Paradise) nous pouvons voir que le service paie en moyenne à ses fournisseurs environ la moitié de ce qu’il facture aux clients pour chaque identifiant. Le prix moyen d’un identifiant pour plus de 200 sites de commerce électronique et bancaires différents vendus via ce service est d’environ 15 $.
Une partie de la liste de prix des informations d’identification vendues sur ce site de vol d’identité Web sombre.
En effet, quinze dollars, c’est exactement ce qu’il en coûte pour acheter des identifiants volés pour airbnb.com, comcast.com, creditkarma.com, logmein.com et uber.com. Une paire d’identifiants de AT&T sans fil – combiné avec l’accès à la boîte de réception de la victime – se vend 30 $.
Les identifiants les plus chers à vendre via ce service sont ceux du magasin d’électronique fris.com (190 $). Je ne sais pas pourquoi ces informations d’identification sont tellement plus chères que les autres, mais c’est peut-être parce que les voleurs ont trouvé un moyen fiable et très rentable de convertir les informations d’identification volées des clients de frys.com en espèces.
Noms d’utilisateur et mots de passe des comptes actifs de la coopérative de crédit réservée au personnel militaire MarineFederal.com récupérez 60 $ chacun, tandis que les informations d’identification de divers services juridiques et d’agrégation de données de Thomson Reuters les propriétés commandent un prix de 50 $.
La liste complète des prix des informations d’identification à vendre par ce service Web sombre est disponible dans ce PDF. Pour le format CSV, voir ce lien. Les deux listes sont triées alphabétiquement par nom de site Web.
Ce service ne se contente pas de vendre des informations d’identification : il vend également des identités entières – indexées et tarifées en fonction de l’identité de la victime involontaire. Score FICO. Une identité avec une cote de crédit parfaite (850) peut exiger jusqu’à 150 $.
Les identités volées avec des cotes de crédit élevées rapportent des prix plus élevés.
Et bien sûr, ce service offre également la possibilité d’obtenir des rapports de solvabilité complets sur pratiquement n’importe quel Américain – des trois principaux bureaux de crédit – pour seulement 35 $ par bureau.
Il en coûte 35 $ par l’intermédiaire de ce service pour extraire le dossier de crédit d’une personne auprès des trois principaux bureaux de crédit.
Beaucoup de gens ont commencé à paniquer plus tôt cette année après qu’une brèche dans le bureau de crédit des trois grands Equifax a mis en péril les numéros de sécurité sociale, les dates de naissance et d’autres données sensibles sur plus de 145 millions d’Américains. Mais comme j’essaie de le dire aux lecteurs depuis de nombreuses années, ces données sont largement disponibles à la vente dans le milieu de la cybercriminalité sur une partie importante de la population américaine.
Si la menace de vol d’identité vous effraie, gelez votre dossier de crédit et celui de votre conjoint (vous pourrez peut-être même le faire pour vos enfants). La surveillance du crédit est utile pour vous faire savoir quand quelqu’un a usurpé votre identité, mais on ne peut pas compter sur ces services pour empêcher un voleur d’identité d’ouvrir de nouvelles lignes de crédit en votre nom.
Ils sont cependant utiles pour aider à nettoyer le vol d’identité après coup. Cette histoire est déjà trop longue pour entrer dans les avantages et les inconvénients de la surveillance du crédit par rapport aux gels, donc je vais plutôt pointer vers une introduction récente sur le sujet et inciter les lecteurs à le vérifier.
Enfin, c’est une très mauvaise idée de réutiliser les mots de passe sur plusieurs sites. Cette année, BreachTrace a écrit sur plusieurs services concurrents qui vendent ou vendent l’accès à des milliards de noms d’utilisateur et de mots de passe exposés dans des violations de données de haut niveau dans des endroits comme Linkedin, Dropbox et Myspace. Les escrocs paient pour accéder à ces services d’informations d’identification volées, car ils savent qu’un pourcentage décent d’internautes recyclent le même mot de passe sur plusieurs sites.
Une alternative à la création et à la mémorisation de mots de passe forts, longs et complexes pour chaque site important que vous traitez est d’externaliser ce casse-tête à un gestionnaire de mots de passe. Si le compte en ligne en question permet Authentification à 2 facteurs (2FA)assurez-vous d’en profiter.
L’authentification à deux facteurs rend beaucoup plus difficile pour les voleurs de mots de passe (ou leurs clients) de pirater votre compte simplement en volant ou en achetant votre mot de passe : si vous avez activé 2FA, ils devront également pirater ce deuxième facteur (généralement votre appareil mobile) avant de pouvoir accéder à votre compte. Pour une liste des sites prenant en charge 2FA, consultez twofactorauth.org.