le Département américain de la justice a annoncé mercredi des accusations contre trois douzaines d’individus considérés comme des membres clés de ‘Fraude», un forum de longue date sur la cybercriminalité qui, selon les procureurs fédéraux, a coûté aux consommateurs plus d’un demi-milliard de dollars. Parallèlement au démantèlement du forum, 13 membres présumés d’Infraud des États-Unis et de six autres pays ont été arrêtés.
Lancé en octobre 2010, Infraud était l’abréviation de « In Fraud We Trust » et, collectivement, le forum s’appelait le « Ministère des fraudes [sic] Affaires. » En tant que forum de fraude principalement anglophone, Infraud a attiré près de 11 000 membres du monde entier qui ont vendu, échangé et acheté de tout, des identités volées et des comptes de cartes de crédit aux écumeurs de guichets automatiques, à l’hébergement de botnets et aux logiciels malveillants.
« L’acte d’accusation et les arrestations d’aujourd’hui marquent l’une des plus importantes poursuites contre les entreprises de cyberfraude jamais entreprises par le ministère de la Justice », mentionné John P. Cronan, procureur général adjoint par intérim de la division criminelle du ministère de la Justice. « Comme allégué dans l’acte d’accusation, Infraud fonctionnait comme une entreprise pour faciliter la cyberfraude à l’échelle mondiale. »
La plainte publiée par le DOJ répertorie 36 membres d’Infraud – certains uniquement par leurs surnoms de pirates informatiques, d’autres par leurs vrais noms et pseudonymes présumés, et d’autres encore sous le nom de « John Does ». Ayant été un rôdeur assez régulier sur Infraud au cours des sept dernières années qui a cherché à identifier indépendamment bon nombre de ces personnes, je peux dire que certains de ces noms et associations de surnoms semblent exacts, mais plusieurs ne le sont pas.
Le gouvernement affirme que le fondateur et membre dirigeant d’Infraud était Sviatoslav Bondarenkoun hacker d’Ukraine qui a utilisé les surnoms « Recteur » et « Helkern.” Le premier surnom est bien étayé par des copies du forum obtenues par cet auteur il y a plusieurs années ; en effet, le profil de Rector le mentionnait comme administrateur, et Rector peut être vu sur d’innombrables fils de discussion Infraud se portant garant des vendeurs qui avaient payé les frais mensuels pour annoncer leurs services dans des fils «collants» sur le forum.
Cependant, je ne suis pas sûr que l’association Helkern avec Bondarenko soit exacte. En décembre 2014, quelques jours seulement après avoir révélé l’histoire du vol de quelque 40 millions de cartes de crédit et de débit du géant de la vente au détail CibleBreachTrace a publié une longue enquête sur l’identité de « Réscateur” – le pirate dont la boutique de cybercriminalité a été identifiée comme le principal fournisseur de cartes volées à Target.
Cette histoire a montré que Rescator a changé son surnom de Helkern après que le précédent forum de cybercriminalité de Helkern (Darklife) ait été massivement piraté, et il a présenté des indices indiquant que Rescator/Helkern était un autre Ukrainien nommé Andreï Hodirevski. Pour en savoir plus sur cette connexion, voir Qui vend des cartes de Target.
De plus, Rescator était un fournisseur distinct sur Infraud, et je n’ai pu trouver aucune indication suggérant que Rector et Rescator étaient les mêmes personnes. Voici le fil de vente le plus récent de Rescator pour sa boutique de cartes de crédit sur Infraud – daté de près d’un an après la violation de Target. Notez que le dernier commentaire sur ce fil allègue que Rescator a récemment été arrêté et que son magasin était géré par des responsables de l’application des lois :
Un autre administrateur de haut niveau d’Infraud a utilisé le surnom « Aciers.” Selon le ministère de la Justice, le vrai nom de Stells est Sergueï Medvedev. Le gouvernement ne décrit pas son rôle exact, mais il semble avoir administré le service d’entiercement du forum (voir capture d’écran ci-dessous).
La plupart des grands forums de cybercriminalité disposent d’un service d’entiercement, qui détient la monnaie virtuelle de l’acheteur jusqu’à ce que les administrateurs du forum puissent confirmer que le vendeur a consommé la transaction de manière acceptable pour les deux parties. La fonction d’entiercement est conçue pour réduire le nombre de membres qui s’arrachent les uns les autres, mais elle peut également augmenter considérablement le prix final du ou des articles à vendre.
En avril 2016, Medvedev deviendrait « l’administrateur et le propriétaire » d’Infraud, après avoir publié une note en ligne disant que Bondarenko avait disparu, a déclaré le ministère de la Justice.
L’un des accusés dans l’affaire, un vendeur bien connu de cartes de crédit et de débit volées, surnommé « Zo0mer« , est répertorié comme un John Doe. Mais selon un Article du New York Times de 2006le vrai nom de Zo0mer est Sergueï Kozerevet il est originaire de Saint-Pétersbourg, en Russie.
Les actes d’accusation énumèrent également deux autres principaux vendeurs de cartes de crédit et de débit volées: des pirates qui se sont fait surnommer « Unicc » et « Tony Montana» (ce dernier étant une référence au personnage de gangster fictif joué par Al Pacino dans le film Scarface de 1983). Les deux pirates exploitent depuis longtemps et exploitent à ce jour leurs propres magasins de cartes :
Le gouvernement dit que le vrai nom de l’Unicc est Andreï Sergueïevitch Novak. TonyMontana est répertorié dans la plainte sous le nom de John Doe # 1.
Le vendeur le plus prospère de dispositifs d’écrémage conçus pour être apposés sur les distributeurs automatiques de billets et les pompes à carburant était peut-être un pirate connu sur Infraud et d’autres forums criminels sous le nom de « Raphaël101.” Plusieurs de mes premières histoires sur les nouvelles innovations d’écrémage sont venues de discussions avec Rafael au cours desquelles cet auteur s’est fait passer pour un acheteur intéressé et a demandé des vidéos, des photos et des descriptions techniques de ses appareils d’écrémage.
Une source confidentielle qui a demandé à ne pas être nommée m’a dit il y a quelques années que Rafael avait utilisé le même mot de passe pour ses comptes de vente d’écrémage sur plusieurs forums de cybercriminalité concurrents. Lorsque l’un de ces forums a été piraté, cela a permis à cette source de lire les e-mails de Rafael (Rafael a évidemment également utilisé le même mot de passe pour son compte de messagerie).
La source a déclaré que les e-mails montraient que Rafael commandait les pièces de ses skimmers en vrac auprès du géant chinois du commerce électronique. Alibaba, et qu’il facturait une majoration importante sur le produit final. La source a déclaré que Rafael avait tous expédié les colis à un José Gamboa à Norwalk, en Californie, une banlieue de Los Angeles. Effectivement, l’acte d’accusation non scellé cette semaine indique que le vrai nom de Rafael est Jose Gamboa et qu’il est de Los Angeles.
Le ministère de la Justice indique que les arrestations dans cette affaire ont eu lieu en Australie, en France, en Italie, au Kosovo, en Serbie, au Royaume-Uni et aux États-Unis. Les accusés font face à diverses accusations criminelles, notamment le vol d’identité, la fraude bancaire, la fraude électronique et le blanchiment d’argent. Une copie de l’acte d’accusation est disponible ici.