J’ai fait pas mal de discours en public ces derniers temps – généralement sur la cybercriminalité et les activités clandestines – et il y a une question qui vient presque toujours de l’auditoire : « Pourquoi ces sites Web frauduleux sont-ils autorisés à fonctionner, et pas simplement supprimés ? » Ce message est destiné à servir de point de référence pour répondre à cette question.
Q : Pourquoi ne pas supprimer les centaines de sites qui vendent actuellement des cartes de crédit et des données d’identité volées ?
UNE: Pour commencer, il n’est pas toujours facile de mettre ces sites hors ligne. Beaucoup d’entre eux s’appuient sur des bureaux d’enregistrement de noms de domaine qui ignorent systématiquement les demandes d’abus. Il en va de même pour les organisations qui hébergent un certain nombre de ces marchés peu recommandables. De plus, la plupart des magasins de crime ont une multitude de nouvelles variantes de domaine chez une variété de fournisseurs d’hébergement et de bureaux d’enregistrement vers lesquels ils peuvent se tourner s’ils sont fermés.
Plus important encore, les magasins de fraude ne sont pas souvent fermés car ils sont très utiles aux forces de l’ordre, aux banques et aux chercheurs. Les données volées qui ont de la valeur parmi les escrocs informatiques trouveront toujours un chemin vers les marchés illicites ; cela profite aux parties susmentionnées si ces marchés ne sont pas si exclusifs que les escrocs ne peuvent plus facilement visualiser ou acheter les données à vendre.
Comme je l’ai expliqué dans plusieurs articles, les banques et les forces de l’ordre utilisent souvent ces services pour déterminer quel commerçant a été piraté ; pour aider à enrayer le flux de nouvelles données volées ; et, effectivement, stopper la brèche.
Q : Pourquoi y a-t-il tant de ces magasins de cartes hébergés sur le Web clair, plutôt que via Tor, I2P ou une autre technologie d’anonymisation qui permet au magasin de cacher sa véritable adresse Internet ?
UNE: La plupart des magasins de cartes ne vendent qu’une infime fraction (pensez à des pourcentages à un chiffre) des cartes qu’ils ont à vendre à un moment donné. Comme je l’ai noté dans la seconde moitié de cet article, les voleurs en charge de la boutique principalement responsables de la vente de cartes volées à Target et Home Depot n’ont vendu qu’un très petit pourcentage des plus de 100 millions de cartes de crédit et de débit qu’ils ont volées à ces deux entreprises. La société russe d’informatique judiciaire Group-IB a trouvé des chiffres de vente similaires à un chiffre lors d’un balayage[dot]su, un magasin de cartes de longue date qu’ils ont piraté l’année dernière.
Bref, les cartes volées ne sont pas comme les grands vins : elles vieillissent mal. Dès qu’ils sont mis en vente, leur valeur commence à baisser. Et il y a beaucoup plus de cartes volées disponibles qu’il n’y a d’escrocs pour absorber des pourcentages à deux chiffres de cartes volées chez un commerçant donné. Par conséquent, il incombe aux vendeurs de cartes de rendre leurs boutiques aussi accessibles et faciles à utiliser que possible.
Q : Comment se fait-il que les responsables de l’application des lois ne peuvent pas simplement mettre ces types et d’autres à la faillite ou derrière les barreaux pour cette activité ?
UNE: Parfois, les propriétaires de ces magasins de cartes sont arrêtés et emprisonnés. Mais un grand nombre de sites sont gérés par des personnes vivant en Russie et en Ukraine. Aucune des deux nations ne s’est montrée particulièrement soucieuse d’arrêter les cyber-escrocs à l’intérieur de ses frontières, tant que ces escrocs s’attaquent principalement à des cibles situées en dehors de leur pays d’origine. De plus, les cybercriminels basés en Russie et en Ukraine qui ne volent pas les leurs n’ont généralement pas grand-chose à craindre des forces de l’ordre et des gouvernements étrangers, à condition qu’ils ne se rendent pas dans des pays favorables à l’Occident.
Q : D’accord, mais ne pouvons-nous pas tous atteindre une certaine catharsis en mettant ces sites hors ligne ?
UNE: Bien sûr, mais ces sites frauduleux seront de retour en ligne avant que vous puissiez dire « où est ma carte de débit ». La plupart des magasins de cartes expérimentés répertorient sur leurs pages d’accueil plusieurs, voire des dizaines, de domaines alternatifs que les clients peuvent utiliser en cas de fermeture de l’actuel. Bien que cela présente certainement une liste cible mûre pour quiconque souhaite mettre ces sites hors ligne, consultez la réponse à la première question ci-dessus pour savoir pourquoi cela devient généralement plus difficile à chaque retrait successif.
Q : Alors, ne pouvons-nous rien faire pour perturber ces magasins de crime qui ne perturbe pas également les agents de sécurité qui cherchent à obtenir des renseignements sur qui a été piraté ?
R : La plupart des meilleurs magasins de fraude par carte ont repensé leurs modèles commerciaux pour créer une expérience client plus fluide. Il est révolu le temps où un magasin de cartes sérieux pouvait ignorer les plaintes des clients et continuer à faire des affaires dynamiques et loyales. Tout est question de réputation. La création d’une expérience client positive est la clé de la manière dont ces gars établissent la légitimité et la fidélité des clients. Mais interférez suffisamment avec cette expérience client – et la réputation du vendeur – et cette entreprise pourrait très bien mourir sur la vigne.