Une méthode séculaire pour extraire de l’argent des cartes de crédit volées consiste à escroquer des « réexpéditions », qui gèrent l’achat, la réexpédition et la revente de biens de consommation par carte d’Amérique vers l’Europe de l’Est – principalement la Russie. Une nouvelle étude suggère que quelque 1,6 million de cartes de crédit et de débit sont utilisées pour commettre au moins 1,8 milliard de dollars de fraude à la réexpédition chaque année, et identifie certains points d’étranglement pour perturber cette activité lucrative de blanchiment d’argent.
De nombreux détaillants ont depuis longtemps cessé d’autoriser les expéditions directes de biens de consommation des États-Unis vers la Russie et l’Europe de l’Est, citant le taux élevé de transactions frauduleuses pour les biens destinés à ces régions. En conséquence, les fraudeurs ont perfectionné le service de réexpédition, une entreprise criminelle qui permet aux voleurs de cartes et aux opérateurs de services de se partager essentiellement les bénéfices des marchandises commandées avec des cartes de crédit et de débit volées.
Une grande partie des informations contenues dans cette histoire provient d’une étude publiée la semaine dernière intitulée « Drops for Stuff : Une analyse des escroqueries de mule de réexpédition”, qui compte plusieurs contributeurs (dont cet auteur). Pour mieux comprendre le schéma de réexpédition, il est utile d’avoir une introduction rapide à la terminologie utilisée par les voleurs pour décrire les différents acteurs de l’escroquerie.
L ‘«opérateur» du service de réexpédition se spécialise dans le recrutement de «mules de réexpédition» ou de «gouttes» – essentiellement des consommateurs involontaires aux États-Unis qui sont enrôlés par le biais d’escroqueries au travail à domicile et ont promis jusqu’à 2 500 $ par mois de salaire juste pour recevoir et réexpédier des colis.
En pratique, pratiquement toutes les gouttes sont coupées environ 30 jours après leur première expédition, juste avant l’échéance du chèque de paie promis. En raison de ce roulement constant, l’opérateur doit constamment recruter de nouvelles gouttes.
L’opérateur vend l’accès à son écurie de drops à des voleurs de cartes, également appelés « stuffers ». Les bourreurs utilisent des cartes volées pour acheter des produits de grande valeur auprès des marchands et demandent aux marchands d’expédier les articles à l’adresse des gouttes. Une fois que les gouttes reçoivent les colis, les bourreurs leur fournissent des étiquettes d’expédition prépayées que les mules utiliseront pour expédier les colis aux bourreurs eux-mêmes. Après réception des colis relayés par les gouttes, les bourreurs revendent ensuite les produits sur le marché noir local.
L’opérateur de services d’expédition prendra soit une réduction en pourcentage (jusqu’à 50 %) où les bourreurs paient une partie de la valeur au détail du produit à l’opérateur du site en tant que frais de réexpédition. D’autre part, les opérations qui ciblent des produits à bas prix (vêtements, par exemple) peuvent simplement facturer des frais forfaitaires de 50 $ à 70 $ par colis. Selon la sophistication du service de réexpédition, les bourreurs peuvent soit acheter des étiquettes d’expédition directement auprès du service – généralement avec une remise sur le volume – soit fournir leurs propres [for a discussion of ancillary criminal services that resell stolen USPS labels purchased wholesale, check out this story from 2014].
Les chercheurs ont découvert que les sites de réexpédition garantissent généralement un certain niveau de satisfaction client pour une livraison réussie des colis, avec quelques mises en garde importantes. Si un dépôt qui n’est pas marqué comme problématique détourne le colis, les sites de réexpédition offrent la livraison gratuite pour le prochain colis ou versent jusqu’à 15 % de la valeur de l’article en compensation aux bourreurs (par exemple, en compensation pour avoir « brûlé » la carte de crédit ou le étiquette de réexpédition déjà payée).
Cependant, dans les cas où les autorités identifient la chute et interceptent le colis, les sites de réexpédition ne fournissent aucune compensation — ils appellent ces incidents des « cas de force majeure » sur lesquels ils n’ont aucun contrôle.
« Pour une prime, les stuffers peuvent louer des gouttes privées auxquelles aucun autre stuffer n’aura accès », ont écrit les chercheurs. « Ces baisses privées sont vraisemblablement plus fiables et sont protégées des interférences par d’autres stuffers et, à leur tour, ont un risque réduit d’être découvertes (donc, un risque plus faible de perdre des colis). »
AMPLIFIER LES PROFITS
L’un des principaux avantages de l’encaissement de cartes volées à l’aide d’un service de réexpédition est que de nombreux biens de consommation de luxe généralement achetés avec des cartes volées – consoles de jeux, iPads, iPhones et autres appareils Apple, par exemple – peuvent être vendus en Russie pour 30 majoration de 50 % à 50 % en plus du prix d’achat initial, permettant aux voleurs d’augmenter leur retour sur chaque carte volée.
Par exemple, un MacBook d’Apple vendu pour 1 000 dollars américains aux États-Unis se vend généralement environ 1 400 dollars américains en Russie parce que divers droits de douane, taxes et autres frais augmentent leur prix.
Il n’est pas difficile de voir comment cela peut devenir une forme de fraude très lucrative pour toutes les personnes impliquées (à l’exception des gouttes). Selon les chercheurs, le dommage moyen d’un programme de réexpédition par titulaire de carte est de 1 156,93 $. Dans ce cas, le bourreur achète une carte au marché noir pour 10 $, se retourne et achète pour plus de 1 100 $ de marchandises. Une fois que le service de réexpédition a pris sa part (~ 550 $) et que le bourreur a payé son étiquette de réexpédition (~ 100 $), le bourreur reçoit les biens volés et les vend sur le marché noir en Russie pour 1 400 $. Il vient de transformer un investissement de 10 $ en plus de 700 $. Rincez, lavez et répétez.
L’étude a examiné le fonctionnement interne de sept services de réexpédition différents sur une période de cinq ans, de 2010 à 2015, et a impliqué des données partagées par le FBI et le Service d’enquête postale des États-Unis. L’analyse a montré qu’au moins 85 % des colis réexpédiés via ces systèmes étaient envoyés à Moscou ou dans les environs immédiats de Moscou.
Les chercheurs ont écrit que « bien qu’il soit souvent impossible de appréhender les criminels qui se trouvent à l’étranger, les modèles de destinations de réexpédition peut aider à intercepter les colis d’expédition internationaux avantils quittent le pays, par exemple, dans un centre de service international USPS. Concentrer les efforts d’inspection sur les colis destinés aux principales villes de destination des bourreurs peut augmenter le succès de l’interception des articles provenant des escroqueries de réexpédition.
L’équipe de recherche a écrit que perturber les chaînes de réexpédition de ces escroqueries a le potentiel de paralyser l’économie souterraine en affectant un flux de revenus majeur de cybercriminels. À titre d’exemple, l’équipe a découvert qu’un seul service de réexpédition géré par des criminels peut générer un revenu annuel de plus de 7,3 millions de dollars américains, dont la plupart sont des bénéfices.
Une copie de l’article complet est disponible ici (PDF).