J’ai récemment entendu parler d’une source dans l’application de la loi qui avait un problème particulier. La source enquête sur la cybercriminalité, et il cherchait des conseils après avoir tenté, mais sans succès, d’effectuer des achats sous couverture de cartes de crédit volées sur un marché clandestin des cartes bien connu. Il s’avère que le propre système de sécurité du bazar de la cybercriminalité a déclenché une « alerte porcine » et a effrontément signalé les transactions de la Fed comme un achat sous couverture effectué par un agent des forces de l’ordre.
Les responsables de l’application des lois et les spécialistes de la lutte contre la fraude bancaire achètent parfois des cartes volées sur des forums criminels et des marchés de « cartes » en ligne dans l’espoir d’identifier un modèle parmi toutes les cartes d’un lot donné qui pourrait permettre de savoir facilement qui a été piraté : si toutes les cartes d’un lot donné se sont avérées plus tard utilisées chez le même marchand de commerce électronique ou physique au cours de la même période, les enquêteurs peuvent souvent déterminer la source de la violation de carte, alerter l’entreprise violée et endiguer le flux de cartes volées.
Bien sûr, une telle activité n’est pas quelque chose que les magasins de cardage prennent à la légère, car elle a tendance à réduire leurs ventes et leurs revenus criminels. C’est donc que l’un des magasins de cartes les plus populaires – Rescator – a en quelque sorte mis en place un système pour détecter les achats de responsables présumés de l’application des lois. Rescator et son équipe n’hésitent pas à vous faire savoir quand ils pensent que vous n’êtes pas un vrai criminel. Ma source policière a déclaré qu’il venait de placer un lot de cartes dans son panier et se préparait à payer les marchandises lorsque la page de paiement du site de cartes a été remplacée par cette image :
Un important vendeur de cartes de crédit volées tente de détecter les transactions suspectes par les forces de l’ordre. Quand c’est le cas, il déclenche cette alerte « cochon détecté ».
Le magasin à partir duquel ma source a tenté d’effectuer l’achat – appelé Rescator – est le même magasin de cartes qui a été le premier à proposer des millions de cartes en vente qui ont été volées lors des violations de Target et Home Depot, entre autres. J’ai estimé que bien que Rescator et sa bande de voleurs aient volé 40 millions de numéros de cartes de crédit et de débit à Target, ils n’ont probablement réussi à vendre qu’entre 1 et 3 millions de ces cartes. Même ainsi, à un prix médian de 26,85 $ par carte et à une perte médiane de 2 millions de cartes, cela représente toujours plus de 50 millions de dollars de revenus. Il n’est pas étonnant qu’ils veuillent empêcher les autorités d’entrer.
La méthode d’analyse utilisée par ma source – l’achat de cartes volées pour déterminer une source de violation (également appelée analyse « point de vente commun » ou « CPP ») – était essentielle pour les banques aidant ce journaliste à identifier certaines des plus grandes violations de la vente au détail sur record ces dernières années (dont Target et Home Depot).
Mais l’approche CPP tombe généralement à plat si toutes les cartes achetées dans le magasin de fraude ne révèlent pas un commerçant commun. Des magasins de fraude plus expérimentés ont cherché à créer cette confusion et à confondre les enquêteurs en « faisant des saucisses », c’est-à-dire en mélangeant méthodiquement les cartes volées à plusieurs victimes dans un seul nouveau lot de cartes volées qu’ils proposent à la vente. Le site de Rescator a gagné son infamie en partie en bafouant cette meilleure pratique avec des cartes volées lors de violations distinctes chez Target, Home Depot, Sally Beauty, PF Chang’s et Harbor Freight. Mais selon des sources du secteur bancaire, plus récemment, il semble que Rescator et d’autres magasins de cartes aient été inondés de cartes provenant de machines de point de vente piratées dans de petits restaurants à travers l’Amérique du Nord.
J’ai dit à ma source chargée de l’application de la loi qu’il n’est pas rare que des cyber-voleurs qui gèrent des magasins en ligne utilisent des listes noires de plages d’adresses Internet connues pour être fréquentées ou attribuées à des organismes gouvernementaux et chargés de l’application de la loi dans le monde entier. Les piliers de la cybercriminalité dont j’ai parlé dans mon livre Spam Nation utilisé des listes noires pour bloquer les achats de produits pharmaceutiques voyous par les enquêteurs de fraude (un extrait de Spam Nation montrant deux cyber-escrocs clés se disputant sur la meilleure façon de signaler les achats suspects se trouve dans la seconde moitié de cette histoire).
Là encore, peut-être que le site de Rescator a simplement remarqué quelque chose qui n’allait pas lorsque ma source a financé son compte avec Bitcoin. Les criminels qui dirigeaient le magasin de fraude ont saisi son compte de magasin de cartes et son solde de bitcoins après que l’alerte de porc ait clignoté sur l’écran de ma source – volant ainsi des centaines de dollars des contribuables directement aux autorités.
Sans surprise, ma source n’a pas voulu divulguer quoi que ce soit sur ses opérations d’infiltration, y compris les faiblesses qu’il aurait pu commettre et qui ont conduit à sa sortie. Il voulait juste des conseils sur la façon d’éviter l’alerte porc lors de futurs achats d’infiltration. Mais j’ai trouvé son cas fascinant et un autre exemple de la sophistication croissante des opérations de cybercriminalité à grande échelle.
Si l’idée que des fraudeurs utilisent l’intelligence pour déjouer les enquêteurs semble fascinante, consultez cet article de novembre 2015 sur PaymentsSource.comqui fait référence à l’alerte au cochon illustrée ci-dessus et à d’autres façons dont de nombreux magasins de cartes du marché noir les plus avertis deviennent moins accueillants pour les étrangers.