le Département américain de la justice a accumulé de nouvelles accusations contre le chef de file présumé de la cybercriminalité Roman Seleznev, un ressortissant russe qui a fait la une des journaux en juillet lorsqu’il est apparu qu’il avait été emmené à Guam par des agents fédéraux américains alors qu’il était en vacances aux Maldives. Les accusations supplémentaires portées contre Seleznev peuvent aider à expliquer le temps d’arrêt prolongé dans un magasin de fraude par carte de crédit extrêmement populaire dans le sous-sol de la cybercriminalité.
Le gouvernement allègue que le hacker connu dans la clandestinité sous les noms de « nCux » et « Bulba » était Roman Seleznev, un citoyen russe de 30 ans arrêté en juillet 2014 par les services secrets américains. Selon Rapports des médias russesle jeune homme est le fils d’un éminent homme politique russe.
Seleznev a été initialement identifié par le gouvernement en 2012, lorsqu’il l’a nommé dans le cadre d’un complot impliquant plus de trois douzaines de marchands populaires sur cardeur[dot]suun forum de fraude animé où Bulba et d’autres membres commercialisaient ouvertement divers services axés sur la cybercriminalité (voir l’acte d’accusation original ici).
Selon l’acte d’accusation initial de Seleznev, il aurait fait partie d’un groupe qui a piraté des restaurants entre 2009 et 2011 et planté des logiciels malveillants pour voler les données des cartes des appareils de point de vente des magasins. L’acte d’accusation allègue en outre que Seleznev et des complices anonymes ont utilisé ses surnoms en ligne pour vendre des cartes de crédit et de débit volées à bulbe[dot]cc et piste2[dot]Nom. Les clients de ces services ont payé leurs cartes avec des monnaies virtuelles, y compris WebMoney et Bitcoin.
Mais la semaine dernière, les procureurs américains empilés sur 11 autres chefs d’accusation de crime contre Seleznev, l’accusant d’avoir également vendu des données de carte de crédit volées sur un magasin de cartes populaire appelé 2pac[dot]cc. Fait intéressant, l’arrestation de Seleznev coïncide avec une période d’indisponibilité prolongée sur 2pac[dot]cc, pendant laquelle des clients réguliers du magasin pouvaient être vus se plaindre sur des forums de cybercriminalité où le magasin était annoncé que le propriétaire du magasin était resté silencieux et ne répondait plus aux demandes d’assistance client.
Quelques semaines après l’arrestation de Seleznev, il semble que quelqu’un de nouveau ait commencé à prendre possession de 2pac[dot]les opérations quotidiennes de cc. Cet individu a récemment publié un message sur la page d’accueil du magasin de cartes s’excusant de la panne prolongée et déclarant que de nouvelles cartes fraîches étaient à nouveau ajoutées à l’inventaire du magasin.
Le message, daté du 8 août 2014, explique que le propriétaire de la boutique était injoignable car il a été hospitalisé suite à un accident de voiture :
« Chers clients. Nous nous excusons pour les désagréments que vous rencontrez actuellement du fait qu’il n’y a pas de mises à jour et [credit card] le vérificateur ne fonctionne pas. Cela est dû au fait que notre patron a eu un accident de voiture et qu’il est à l’hôpital. Nous allons résoudre tous les problèmes dès que possible. Support toujours disponible, merci de votre compréhension.”
TOUT EST UNE QUESTION DE SERVICE À LA CLIENTÈLE
2pac n’est que l’une des dizaines de magasins de fraude vendant des cartes de débit et de crédit volées. Et avec des nouvelles de nouvelles violations de cartes chez les principaux détaillants faisant surface pratiquement chaque semaine, le métro regorge d’inventaire. Le facteur le plus important qui permet aux propriétaires de magasins de cartes individuels de se différencier parmi tant de choix est de fournir un excellent service client.
De nombreux magasins de cartes, dont 2pac[dot]cc, essayez de satisfaire les clients en incluant un service de vérification des cartes à la carte qui permet aux clients de tester les cartes achetées à l’aide de comptes marchands compromis – pour vérifier que les cartes sont toujours actives. La plupart des vérificateurs des magasins de cartes sont configurés pour rembourser automatiquement sur le solde du client la valeur de toutes les cartes qui reviennent comme refusées par le service de vérification.
Ce même service de vérification de carte est également intégré à rescateur[dot]cc, un magasin de cartes décrit à plusieurs reprises dans ce blog et peut-être mieux connu comme la source des cartes volées lors des brèches de vente au détail de Target, Sally Beauty, PF Chang’s et Home Depot. Peu de temps après avoir annoncé la nouvelle de la violation de Target, j’ai publié une longue analyse des données du forum suggérant que Rescator était un jeune homme basé à Odessa, en Ukraine.
Il s’avère que Rescator est un important fournisseur de cartes volées à d’autres magasins de cartes concurrents, y compris balayé1[dot]su – un magasin de cartes qui existe sous diverses formes depuis au moins 2008. Cette information est contenue dans un rapport (PDF) publié aujourd’hui par une société russe de sécurité informatique Groupe-IBqui a déclaré avoir découvert un moyen secret d’afficher les statistiques administratives pour le swipe1[dot]sur le site Web. Group-IB a découvert qu’un utilisateur nommé Rescator était de loin le plus grand fournisseur de cartes volées au magasin, fournissant quelque 5 306 024 cartes au magasin au fil des ans.
Group-IB a également répertorié les statistiques sur le nombre de cartes de Rescator qui se sont avérées utiles pour les clients cybercriminels. Sur les plus de cinq millions de cartes que Rescator a apportées à la boutique, seulement 151 720 (2,8 %) ont été vendus. 421 801 autres ont expiré avant de pouvoir être vendus. Un total de 42 626 des 151 720 – soit environ 28% – des cartes Rescator qui ont été vendues sur Swiped1[dot]su est revenu comme refusé lorsqu’il a été exécuté par le service de vérification du site.
De nombreux lecteurs ont demandé pourquoi les voleurs responsables de la violation de carte chez Home Depot ont collecté les cartes des clients de Home Depot pendant cinq mois avant de vendre les cartes (sur le site de Rescator, bien sûr). Après tout, les cartes de crédit volées ne vieillissent pas exactement avec élégance ou ne gagnent pas en valeur avec le temps.
Une explication possible — appuyée par le swipe1[dot]su data et par mes propres reportages sur ce sujet – est que les fraudeurs vétérans comme Rescator savent que seule une infime partie des cartes volées sont réellement vendues. Sur la base d’entretiens avec plusieurs banques qui ont été fortement touchées par la violation de Target, par exemple, j’ai estimé que bien que Rescator et sa bande de voleurs aient réussi à voler quelque 40 millions de numéros de cartes de débit et de crédit lors de la violation de Target, ils n’ont probablement vendu qu’entre un et trois millions de ces cartes.
Les escrocs de la brèche Target ont pu collecter 40 millions de cartes en environ trois semaines, principalement parce qu’ils ont appuyé sur la gâchette du braquage le ou autour du Black Friday, le jour de magasinage le plus achalandé de l’année et le début officiel de la saison des achats des Fêtes en les États Unis. Je suppose que Rescator et ses associés ont trop bien compris combien de cartes ils devaient voler à Home Depot pour réaliser un certain nombre de ventes et de retour monétaire pour le braquage, et qu’ils ont continué à collecter des cartes jusqu’à ce qu’ils aient atteint ce nombre magique.
Pour ceux que ça intéresse, l’enquête sur swipe1[dot]su faisait partie d’un rapport plus large que Group-IB a publié aujourd’hui, disponible ici.