J’ai récemment écrit sur un service en ligne qui vendait l’accès à des données de cartes de crédit et de débit volées. Ce poste a reçu beaucoup d’attention, mais les bazars criminels sont un centime par douzaine. La vraie nouvelle est que peu de ces magasins de fraude sont suffisamment sécurisés pour empêcher que leur stock de données volées ne soit volé par des voleurs.
Options d’achat de cartes sur mn0g0.su
Un bon exemple est la boutique mn0g0.su (« mnogo » est une translittération de много, qui signifie « beaucoup » en russe). Cette boutique en ligne, lancée en janvier 2011, permet aux clients de rechercher des données de cartes volées par émetteur bancaire, code postal de la victime et type de carte. Une source qui aime ruiner des projets criminels a déclaré qu’il était tombé par hasard sur la base de données principale de mn0g0.su ; le site sauvegardait son cache de données de cartes volées sur un serveur tiers largement ouvert et non crypté.
La base de données contient plus de 81 000 ensembles de numéros de cartes de crédit et de débit, ainsi que leurs dates d’expiration associées et le code de sécurité de la carte. Chaque annonce comprend également le nom, l’adresse et le numéro de téléphone et/ou l’adresse e-mail du propriétaire. Le numéro de sécurité sociale, le nom de jeune fille de la mère et la date de naissance sont disponibles pour certains titulaires de carte. Le site n’accepte pas les paiements par carte de crédit ; les comptes clients sont financés par des dépôts provenant de «monnaies virtuelles», telles que WebMoney et LibertéRéserve.
On ne sait pas comment ni quand ces numéros de carte ont été volés. Les magasins de cartes frauduleux achètent des données en masse auprès de plusieurs fournisseurs, très probablement auprès de petits fraudeurs qui utilisent des outils automatisés pour pirater les magasins de commerce électronique. Les données sont insérées dans la base de données sous différents formats. Par exemple, un lot d’informations de cartes à vendre comprend des adresses e-mail au lieu de numéros de téléphone, et tous les titulaires de cartes victimes de ce lot ont des adresses physiques au Royaume-Uni.
Juste pour m’amuser, j’ai cherché mon nom de famille et j’ai été surpris de trouver quatre personnes portant le nom de famille « meguetaoui » dont les informations de carte étaient incluses dans la base de données (aucun n’est un parent connu).
Non seulement mn0g0.su a divulgué toutes les cartes de crédit et de débit qu’il avait à vendre, mais il a également renversé sa propre liste de « clients »: les adresses e-mail, adresses IP, numéros ICQ, noms d’utilisateur et mots de passe de plus de 4 300 mn0g0.su les acheteurs ont été inclus dans la sauvegarde de la base de données exposée. Les mots de passe des clients étaient mieux protégés que les numéros de carte de crédit. Les mots de passe sont cryptés avec un hachage SHA256 salé, bien qu’un ensemble décent d’outils de craquage de mots de passe puisse probablement déchiffrer 50 à 75 % des mots de passe hachés s’il dispose de suffisamment de temps.
La sauvegarde de la base de données semble dater de quelques mois. Je le sais car j’ai enregistré deux comptes sur mn0g0.su, et un seul d’entre eux – celui que j’ai enregistré fin mai ou début juin – est inclus dans la base de données clients. De plus, il semble que de nombreuses cartes en vente aient été volées assez récemment. J’ai lancé une recherche de cartes dans mon code postal et le site n’a renvoyé que deux résultats. Encore une fois, l’une des cartes figurait dans la base de données de sauvegarde, et l’autre – une liste pour Andrea Bolz, résidente d’Annandale, en Virginie – ne l’était pas.
Ma source a proposé de payer le prix demandé de 2,50 $ pour acheter les données de Bolz (vraisemblablement en utilisant l’un des comptes clients mn0g0.su compromis). Lorsque je l’ai appelée au numéro de téléphone que mn0g0.su a renvoyé sur le reçu d’achat, Bolz a confirmé que la carte de débit Bank of America Platinum était la sienne. Bolz a déclaré qu’elle ignorait qu’il avait été volé; elle n’avait subi aucune fraude récente sur le compte. Elle a dit qu’elle appellerait sa banque pour annuler la carte.
La bonne nouvelle? L’acte d’achat de la carte de Bolz semble avoir supprimé ses informations personnelles de la liste des cartes en vente sur mn0g0.su. Les mauvaises nouvelles? Le magasin de fraude sauvegarde toujours sa base de données sur un serveur tiers largement ouvert.
Les données de la carte de débit de Bolz pourraient bien avoir été volées lors d’une violation de données physique, via un écumeur de guichet automatique, un serveur dans un restaurant ou un employé de magasin qui a glissé sa carte. C’est toujours une bonne idée d’éviter d’utiliser des cartes de débit pour la plupart des transactions de détail. Les lois américaines sur la protection des consommateurs sont beaucoup plus strictes pour les cartes de crédit que pour les cartes de débit. Les transactions non autorisées sur une carte de crédit sont simples à signaler et à annuler. Les données de carte de débit volées peuvent entraîner des retraits d’espèces frauduleux. Résoudre les incidents de retraits non autorisés d’une carte de débit nécessite beaucoup de temps et de paperasserie. De plus, de nombreuses banques exigent que vous déposiez un rapport de police avant d’enquêter sur un retrait non autorisé.
[EPSB]
Avez-vous vu:
Digital Hit Men for Hire… Les cyberattaques conçues pour mettre hors ligne des sites Web se produisent tous les jours, mais rechercher un tueur à gages virtuel pour lancer l’une de ces attaques a toujours été une affaire risquée. Cela commence à changer : les pirates se font ouvertement concurrence pour proposer des services susceptibles de supprimer une activité en ligne concurrente ou de régler des comptes.
[/EPSB]