Ooh, tu pourrais ne jamais devenir riche
Mais laissez-moi vous dire, c’est mieux que de creuser un fossé
« Lave-Auto » de Rose Royce
Une enquête sur une série de violations de cartes de crédit dans des dizaines de stations de lavage de voitures à travers les États-Unis illustre les défis auxquels sont confrontées les forces de l’ordre locales alors qu’elles cherchent à faire le lien entre la cybercriminalité et les activités des gangs locaux qui traversent de plus en plus de multiples frontières nationales et internationales.
Plus tôt ce mois-ci, la police de Everett, Massachusetts arrêté un homme du coin nommé Jean Pierre pour possession de neuf comptes de carte de crédit volés. Les cartes elles-mêmes n’ont pas été volées : il s’agissait de cartes-cadeaux qui avaient été réencodées avec les données de cartes volées à la suite de diverses violations de données chez des commerçants, y compris un Lave-auto Splash dans le Connecticut.
La façon dont les autorités du Massachusetts ont lié Pierre à un cybercrime dans un lave-auto du Connecticut est un mélange de chance étrange et de travail policier à l’ancienne. En mai, le département de police d’Everett a reçu une plainte d’un département du shérif de Caroline du Sud au sujet d’un résident dont le compte de carte de crédit avait été utilisé à plusieurs reprises pour des transactions frauduleuses dans un Famille Dollar magasin à Everett.
Everett PD Détective Michael Lavey obtenu des images de caméras de sécurité du magasin à un dollar local en question. Lorsque Lavey a demandé au commis du magasin s’il connaissait les personnes photographiées à la date et à l’heure des transactions frauduleuses, le commis a déclaré que les suspects venaient depuis des mois – plusieurs fois par semaine – achetant toujours des cartes-cadeaux.
« Le commis m’a dit qu’ils viendraient dans le magasin par paires, en utilisant plusieurs cartes de crédit jusqu’à ce que l’une d’entre elles soit finalement approuvée, auquel cas ils achèteraient 500 $ chacun en cartes-cadeaux prépayées », a déclaré Lavey. « Nous avons deux magasins Family Dollar à Everett et un tas dans les environs, et ces gars venaient trois à quatre fois par semaine à chaque endroit, blanchissant l’argent des cartes volées. »
Peu de temps après que Lavey a publié des instantanés de la séquence vidéo sur un réseau de police à l’échelle de l’État, il a entendu un officier de Boston qui a déclaré qu’un suspect ressemblant à l’un des hommes sur les photos avait récemment été interrogé dans un hôpital de la ville après avoir été poignardé aux jambes. et les fesses dans un vol sans rapport. L’agresseur de cette attaque a été arrêté, mais sa victime – Jean Pierre – a refusé de répondre aux questions sur l’incident. La police a saisi le pantalon de Jean Pierre comme preuve dans l’affaire d’agression et a découvert de nombreuses cartes prépayées dans les poches du pantalon.
Lavey a déclaré qu’il avait assigné à comparaître les relevés de carte de crédit et qu’en travaillant avec des enquêteurs d’American Express et de Citibank, il avait été en mesure de déterminer qu’au moins une des cartes avait été volée au Splash Car Wash dans le Connecticut. En effet, les voleurs achetaient des cartes volées pour financer l’achat de cartes-cadeaux, dont certaines serviraient plus tard d’hébergeurs pour de nouvelles données de cartes volées une fois leur solde épuisé. Les flics appellent cela du blanchiment d’argent, mais dans ce cas, cela pourrait aussi bien s’appeler du lavage de cartes.
S’AGIT-IL D’UN SUPER LAVAGE OU D’UN LAVAGE DE LUXE ?
Bientôt, Lavey s’est lié avec Michel Chaves, un détective du département de police de Monroe, dans le Connecticut, qui avait enquêté sur des violations de cartes dans 14 lave-autos distincts de son état, y compris l’affaire Splash. Travailler avec le Connecticut Financial Crimes Task Force, un vaste groupe d’application de la loi qui comprend le Services secrets américains et la police d’État, ils ont déterminé que l’entreprise locale n’était que l’une des 40 lave-autos au moins à travers le pays qui avaient été piratés et débarrassés d’innombrables cartes de crédit et de débit depuis au moins février 2014.
Chaves a déclaré avoir interviewé plusieurs propriétaires de lave-auto et découvert qu’ils utilisaient tous les mêmes systèmes de point de vente développés par Randolph, NJ. Micrologic Associates. Chaves a déclaré que les propriétaires du magasin lui avaient dit que les appareils avaient un accès à distance via pcAnywhere de Symantec activé, accès accordé à toute personne connaissant le même ensemble d’informations d’identification par défaut.
« Les informations d’identification pcAnywhere ont été créées par Micrologic, mais inchangées depuis des années », a déclaré Chaves.
C’est la même conclusion à laquelle sont parvenus indépendamment Détective Steven LaMears avec le service de police de Keene, NH Plus tôt ce mois-ci, un capitaine de police du service de police de Keene a vu des accusations frauduleuses apparaître sur sa carte de crédit peu de temps après l’avoir utilisée à la ville. Lavage de voiture Key Roadun établissement qui utilisait le système de point de vente de Micrologic.
LaMears a également entendu une entreprise de New York qui a rapporté que deux de ses dirigeants avaient chacun leurs cartes compromises plusieurs fois après avoir visité le Key Road Car Wash à Keene.
« Nous les avons affrontés, et travailler avec les services secrets américains les a remis en marche », a déclaré LaMears à propos du lave-auto local compromis. « Les services secrets nous ont dit qu’ils exécutaient une ancienne version de Micrologic qui avait la même connexion, une seule connexion pour tout, et utilisaient une ancienne version de Windows XP. »
MICROLOGIC POS : LOGICIEL DE LAVAGE DE VOITURE(D) ?
Président-directeur général de Micrologic Miguel Gonzalez a déclaré que seulement un tiers environ des quelque 40 lave-autos figurant sur la liste des magasins compromis des services secrets (voir ci-dessus à gauche) utilisaient le logiciel de point de vente Micrologic ; les autres, a-t-il dit, utilisaient des produits fabriqués par d’autres éditeurs de logiciels.
Gonzalez a déclaré que Micrologic a récemment commencé à exhorter tous ses clients à abandonner pcAnywhere et à adopter une authentification multifacteur qui implique l’utilisation d’un code à usage unique envoyé par SMS à l’appareil mobile de l’administrateur.
Interrogé sur l’allégation selon laquelle des escrocs pourraient avoir abusé des informations d’identification par défaut dans le logiciel de Micrologic pour voler les données de carte des lave-autos exécutant son produit, Gonzalez a déclaré que les entreprises piratées exécutaient des versions plus anciennes et obsolètes de pcAnywhere. Il a déclaré que les attaquants semblaient avoir ciblé des vulnérabilités dans le logiciel d’accès à distance lui-même, et non simplement abusé d’un ensemble d’informations d’identification par défaut.
« Ce que les enquêteurs avec lesquels nous avons travaillé jusqu’à présent ont pu recueillir, c’est que [the thieves] n’exploitaient pas les informations d’identification de pcAnywhere, mais une faille dans les anciennes versions de pcAnywhere », a déclaré Gonzalez.
En janvier 2012, Symantec reconnu que les pirates avaient volé le code source du logiciel d’accès à distance populaire, et il a exhorté les utilisateurs à mettre à jour le logiciel – qui comprenait des correctifs pour plusieurs bogues critiques – ou à supprimer complètement le programme.
Que les escrocs exploitent des vulnérabilités logicielles ou des informations d’identification faibles/par défaut dans ce cas, les experts en sécurité conseillent régulièrement aux entreprises d’éviter d’utiliser des outils d’administration à distance sur les appareils de point de vente – ou bien de les verrouiller sévèrement avec des mots de passe forts et d’autres restrictions. Une constatation obstinément statique dans les rapports sur les violations de données publiés chaque année par Verizon, Trustwave et d’autres entreprises qui sont embauchées pour enquêter sur les violations impliquant des données de cartes est que beaucoup trop de violations de points de vente commencent lorsque les voleurs abusent d’une sorte d’outil d’accès à distance installé. sur l’appareil de point de vente lui-même. En règle générale, cela implique que les attaquants analysent Internet à la recherche d’un logiciel d’administration à distance, puis utilisent des outils automatisés qui peuvent s’introduire dans tous les systèmes protégés par des mots de passe faibles.
LA NOUVELLE VIE DE THUG
Les compromis au point de vente dans les restaurants, les détaillants, les lave-autos et ailleurs sont fréquemment attribués à des pirates en Roumanie, en Russie, en Ukraine et dans d’autres parties de l’Europe de l’Est. Mais selon le détective Lavey, les acheteurs de ces biens volés sont de plus en plus des membres de gangs de rue ici aux États-Unis. Lavey a déclaré que Jean Pierre – la victime poignardée qui a été retrouvée en possession de neuf cartes de crédit volées – est membre de la Sangs un gang de rue afro-américain.
« Tous ces enfants sont des membres de gangs de sang, tatoués ou auto-avoués », a déclaré Lavey. « Et ils commencent à travailler plus intelligemment, pas plus dur. Individuellement, cette fraude par carte n’atteint pas le seuil où le gouvernement fédéral va dire « Hé, attrapons ces gars ». Localement, ils le font dans de vastes juridictions et sautent d’un État à l’autre et repartent avec des centaines de milliers de dollars.
Lavey a déclaré qu’il avait récemment travaillé sur une affaire où un certain nombre d’enfants en fin d’adolescence utilisaient des cartes de crédit volées pour faire du shopping dans plusieurs magasins. Cible magasins le long de la côte est.
« Nous venons de conclure une affaire où ces enfants venaient de New York, et ils frappaient tous les magasins Target de la région pour 6 500 $ le coup », a déclaré Lavey. « En un jour de semaine, ils l’ont fait dans tous les magasins Target de haut en bas de la côte est. Ils ont maintenant des accusations en instance à New York, New Jersey, Virginie et Pennsylvanie.
Étant donné à quel point il est facile d’acheter des cartes volées, de les encoder sur des cartes-cadeaux, puis d’utiliser ces cartes pour acheter des biens dans des magasins à grande surface qui peuvent être facilement revendus contre de l’argent, Lavey a déclaré qu’il se demandait pourquoi les vols de banque à l’ancienne sont toujours un problème. .
« Honnêtement, le fait que nous ayons encore des vols de banque est assez déroutant », a-t-il déclaré. « Dévalez une banque et vous avez de la chance si vous vous en sortez avec 600 $. Mais on peut cambrioler une compagnie de cartes de crédit et toutes les banques ont peur d’être associées à une affaire comme celle-ci, et elles remboursent rapidement les victimes. Et la plupart des détaillants ont tellement peur d’avoir leur nom dans la presse associé à la fraude à la carte de crédit et aux violations de données qui nous compliquent la tâche.