De nombreuses entreprises en ligne s’appuient sur des outils de détection de fraude automatisés pour éliminer les achats suspects et non autorisés. Curieusement, les types d’entreprises en ligne douteuses annoncées par le spam font la même chose, seulement elles ont tendance à utiliser des alternatives souterraines qui sont beaucoup moins chères et conçues pour bloquer non seulement les achats frauduleux, mais aussi les «achats tests» des chercheurs en sécurité, des forces de l’ordre et d’autres indiscrets.
Une mesure anti-fraude couramment utilisée dans le commerce électronique est le service de vérification d’adresse (AVS), qui vise à vérifier l’adresse d’une personne prétendant posséder une carte de crédit. Certaines entreprises utilisent des vérifications «géo-IP» supplémentaires, qui tentent de déterminer l’emplacement géographique des visiteurs du site Web en fonction de leurs adresses Internet, puis de les faire correspondre à l’adresse de facturation fournie par le client.
Le problème avec ces services, c’est qu’ils peuvent vite devenir chers et qu’ils sont souvent vendus par les mêmes entreprises que les spammeurs tentent de déjouer. Entrez des services comme contrôle de fraude[dot]cc: Ce service, géré par un spammeur établi sur un forum de cybercriminalité semi-privé, effectue une multitude de vérifications sur chaque transaction, en puisant apparemment dans les comptes de différents services anti-fraude légitimes. Il accepte le paiement uniquement via WebMoneyune monnaie virtuelle populaire en Russie et en Europe de l’Est.
![contrôle de fraude[dot]cc revend des offres groupées de services anti-fraude de fournisseurs légitimes comme MaxMind.](https://breachtrace.com/wp-content/uploads/2022/03/fchistory-copy-600x312.png)
contrôle de fraude[dot]cc revend des offres groupées de services anti-fraude de fournisseurs légitimes comme MaxMind.
Ce service antifraude adapté aux fraudeurs effectue l’analyse suivante :
- Interroge l’emplacement géo-IP à partir de quatre sources distinctes ;
- Calcule la distance du code postal de facturation à partir des coordonnées géo-IP du client ;
- Vérifie l’adresse Internet du client par rapport à des listes de proxys connus qui sont utilisés pour masquer la véritable position d’un internaute et attribue un « score de risque » de zéro à 4,2 (plus le nombre est élevé, plus il est certain que l’achat a été effectué via un proxy ).
- Génère un «score de fraude» de 0 à 100 pour évaluer le risque de la transaction (100 étant le plus risqué)
L’essentiel des contrôles antifraude semble être effectué par [hijacked?] comptes à MaxMind.com, une société de Waltham, Mass. qui filtre plus de 45 millions de transactions en ligne par mois pour 7 000 entreprises. MaxMind vend une suite de solutions anti-fraude légitimes, dont deux spécifiquement citées dans la capture d’écran ci-dessus (minFraude et GéoIP).
Comme détaillé dans ce livre blanc (PDF), le service minFraud de MaxMind vérifie un certain nombre de facteurs de risque potentiels, par exemple si le client utilise un compte Webmail gratuit ou s’il existe une incompatibilité entre l’adresse de livraison et l’adresse de facturation. Il vérifie également si le client paie avec une carte d’une banque connue. Le fait de ne pas identifier un « numéro d’identification bancaire » (BIN) – les six premiers chiffres de toute carte – peut indiquer que le client paie avec une carte prépayée et tente ainsi de masquer son identité ou son emplacement.
Sur la base des résultats combinés de ces tests, le service de MaxMind attribuera un « score de fraude » de 0 à 100, indiquant la meilleure estimation du service quant à savoir si la transaction doit être autorisée ou refusée. Dans l’exemple de la capture d’écran ci-dessus, la raison pour laquelle le service a attribué un score de fraude aussi élevé (96,84) à la transaction en question n’est pas claire – peut-être parce que le service n’a pas pu identifier la banque qui a émis la carte utilisée dans la transaction et a déterminé qu’elle était une carte prépayée.
Les cartes prépayées sont l’outil d’investigation préféré des chercheurs universitaires et des enquêteurs sur les fraudes travaillant pour le compte de marques dont les marques sont souvent abusées dans des produits faisant l’objet d’une publicité pour spam (pensez aux logiciels piratés, aux produits de créateurs et aux médicaments sur ordonnance de marque contrefaite). En tant que telles, les entreprises douteuses qui vendent des produits annoncés via le spam ont tendance à regarder de travers les transactions effectuées avec des prépaiements.
![Outils de géolocalisation utilisés par fraudcheck[dot]cc](https://breachtrace.com/wp-content/uploads/2022/03/geoloc-600x525.png)
Outils de géolocalisation utilisés par fraudcheck[dot]cc
C’était du moins l’une des conclusions d’un article universitaire exceptionnel, Inestimable : le rôle des paiements dans les biens faisant l’objet d’une publicité abusive (PDF), une analyse exhaustive des systèmes de traitement des paiements déployés par les spammeurs. Selon cette recherche, les spammeurs accordent une grande importance au blocage des « achats clandestins » des chercheurs et des enquêteurs.
« En particulier, s’ils peuvent empêcher un achat sous couverture de produire une autorisation, il n’y a aucun moyen de lier un site Web vendant des produits portant atteinte à la marque au compte marchand (et donc à la banque) normalement utilisé pour traiter ses paiements », ont noté les chercheurs. .
Les chercheurs, de Université George Masonla Université de Californie, San Diegoet le Institut international d’informatiquea trouvé un certain nombre de magasins qui ont filtré les adresses IP utilisées lors de commandes précédemment infructueuses, ainsi que des magasins faisant l’objet de publicités indésirables qui refusent de traiter les paiements par carte de crédit avec des BIN particuliers.
« De même, nous avons identifié des programmes en difficulté qui utilisent la géolocalisation IP pour spécialiser les options de paiement », afin d’éliminer les achats dans certains pays, ont découvert les chercheurs. « Toutes ces techniques augmentent les enjeux pour les achats d’infiltration, car elles créent à nouveau un « fardeau de couverture » accru pour la diversité IP, la diversité géographique, la diversité BIN, la diversité des noms, etc. »
Damon McCoyprofesseur adjoint d’informatique à GMU et l’un des auteurs de l’étude, a déclaré que fraudcheck.cc est révélateur d’une tendance dans les entreprises clandestines.
« Nous avons constaté une tendance croissante de la part de ces magasins souterrains indiquant qu’ils investissent probablement dans des systèmes de contrôle des fraudes de plus en plus sophistiqués et utilisent également une deuxième ligne de défense en embauchant des personnes pour vérifier manuellement les commandes suspectes », a déclaré McCoy. « Ils sont de plus en plus disposés à refuser certains vrais clients pour limiter leur risque d’accepter un achat test qui pourrait entraîner de lourdes amendes. »
Contrôle de fraude[dot]cc est un autre exemple de service convivial pour les fraudeurs qui semble être construit sur le dos de comptes compromis dans des services d’information légitimes. D’autres exemples incluent des systèmes de réexpédition qui tirent parti des comptes sur carte et piratés chez les fournisseurs d’affranchissement ; services d’enregistrement de nom de domaine en masse; les escroqueries de mule monétaire qui trouvent de nouvelles embauches en utilisant des comptes d’employeur détournés sur les principaux sites de recherche d’emploi ; et les services d’usurpation d’identité qui extraient les données directement des principaux agrégateurs de données sur les consommateurs.