Plus de la moitié de toutes les ventes de la plus grande pharmacie Internet escroc au monde au cours des quatre dernières années ont été facturées sur des cartes de crédit et de débit émises par les sept principales banques émettrices de cartes, selon une nouvelle étude.
Les pharmacies non agréées créent des risques pour la santé publique et perturbent les consommateurs qui recherchent des médicaments sur ordonnance sûrs et fiables. Les sites Web pharmaceutiques frauduleux sont principalement annoncés à l’aide de spams, de logiciels malveillants et de sites Web piratés. L’arrêt de cette activité de trafic de drogue favoriserait à la fois la santé publique et la sécurité des internautes.
Des découvertes récentes mettent en évidence des leviers supplémentaires que les décideurs politiques pourraient utiliser pour freiner les ventes dans les pharmacies en ligne frauduleuses, en convainquant les banques émettrices de cartes de cesser d’accepter ces frais ou en promulguant une législation similaire à celle utilisée pour étouffer les opérations de jeu en ligne.
Les chiffres présentés ci-dessous proviennent de données de ventes volées à Glavmé, un programme d’affiliation russe qui rémunère les webmasters pour héberger et promouvoir des sites de pharmacies en ligne vendant une variété de médicaments sur ordonnance sans ordonnance. L’été dernier, une source a envoyé à BreachTrace une copie de la base de données Glavmed, qui comprend les numéros de carte de crédit et les informations associées sur les acheteurs pour près de 70 millions de dollars de ventes sur les sites Glavmed entre 2006 et 2010.
J’ai trié les données de l’acheteur par numéro d’identification bancaire (BIN), indiqué par les six premiers chiffres de chaque numéro de carte de crédit ou de débit. Mon analyse montre qu’au moins 15% de tous les achats Glavmed – environ 10,7 millions de dollars d’achats de pilules voyous – ont été effectués avec des cartes émises par Bank of America.
Les ventes de Glavmed utilisant des cartes émises par les sept principaux émetteurs de cartes de crédit étaient presque certainement plus élevées que celles indiquées dans le tableau ci-dessus. Environ 12% des ventes de Glavmed n’ont pas pu être classées par numéro d’identification bancaire (certains émetteurs de cartes peuvent avoir été absorbés par de plus grandes banques). Par conséquent, l’analyse ne prend en compte que les 88 % des transactions Glavmed pour lesquelles la banque émettrice était connue. Plus important encore, les chiffres de cette analyse n’incluent pas près de 100 millions de dollars de ventes générées au cours de la même période par Spamit.com, un programme sœur aujourd’hui disparu de Glavmed dont les membres faisaient principalement la promotion de pharmacies escrocs via des courriers indésirables ; la base de données divulguée ne contenait pas de numéros de carte de crédit ou de débit pour ces enregistrements d’achat.
Les données aident à brosser un tableau plus complet de l’infrastructure financière qui alimente l’écosystème du spam. En mai, des chercheurs de deux campus de l’Université de Californie ont publié les résultats d’une étude de trois mois sur les marchés du spam, au cours de laquelle ils ont dépensé des milliers de dollars pour acheter des médicaments annoncés via le spam. Les chercheurs découvert que 95% des transactions par carte de crédit pour les médicaments et les remèdes à base de plantes faisant l’objet d’une publicité pour spam qu’ils ont achetés étaient gérées par trois sociétés financières – basées en Azerbaïdjan, au Danemark et dans les Antilles de Nevis. Le dossier complet est disponible ici (PDF).
Revenus de Glavmed + Spamit 2006-2010.
Les données des achats de Glavmed suggèrent que l’écosystème du spam pourrait être paralysé si les banques cessaient de traiter les paiements à une poignée d’institutions. Il montre également qu’un tel effort nécessiterait l’action d’un nombre relativement restreint de banques émettrices de cartes.
Stéphane Sauvage, l’un des auteurs de l’étude de l’Université de Californie, a déclaré qu’il ne manquait pas de petites institutions financières prêtes à entreprendre des transactions plus risquées telles que les produits pharmaceutiques en ligne. Mais il a déclaré que forcer les pharmacies voyous à rechercher constamment de nouveaux partenaires de traitement pourrait réduire considérablement les revenus.
« Le problème est que ce n’est pas une transaction bon marché ou rapide pour établir une nouvelle relation bancaire », m’a dit Savage. « Vous devez rencontrer ces gars-là, Visa ou MasterCard ont besoin d’informations d’identification signées pour vous et la banque, et ce processus peut prendre une semaine à la vitesse de la lumière pour se mettre en place. Donc, même si vous, en tant qu’organisation pharmaceutique, pouvez changer de processeur, vous ne pouvez pas le faire du jour au lendemain. Et d’un autre côté, il me faudrait quelques secondes pour comprendre si une organisation pharmaceutique a changé [processing] banques. Donc, techniquement, si [card-issuing] les banques étaient disposées à adopter une approche de liste noire, il n’y a absolument aucun moyen pour que ces entreprises pharmaceutiques puissent suivre le rythme.
Je me demandais si l’approche proposée par Savage fonctionnerait, alors j’ai demandé Igor Gusev, le fondateur de Glavmed. Gusev est un fugitif de sa Russie natale, qui l’année dernière a déposé des accusations criminelles contre lui et son entreprise. Dans un entretien téléphonique avec BreachTrace, Gusev a déclaré qu’exercer une pression plus concertée sur les banques d’affaires décimerait l’industrie pharmaceutique voyous, qui a tendance à se regrouper autour d’une poignée de processeurs et à changer de processeurs au même rythme lorsqu’ils sont obligés de se déplacer. Par exemple, depuis la publication de l’étude de l’Université de Californie, les pharmacies incluses dans l’étude qui traitaient à Azérigazbank (AG Bank) en Azerbaïdjan a cessé d’utiliser AG Bank et a transféré son activité dans une autre institution de ce pays — Norme bancaire.
« Ils doivent faire pression sur les processeurs de cartes qui sont des monstres [that] réglementer uniquement sur la pression publique très négative », a déclaré Gusev. « Je pense que ce serait une grève très puissante, et la pharmacie en ligne serait morte d’ici deux ans si elle pouvait d’une manière ou d’une autre éteindre les marchands qui [are] connecté à la pharmacie en ligne.