Les cybercriminels vendent aux enchères l’accès aux informations client volées à un courtier de données en ligne derrière une gamme vertigineuse de sites Web d’appâts et de commutateurs qui vendent l’accès à une vaste gamme de données sur les consommateurs américains, y compris les dossiers DMV et d’arrestation, les rapports de généalogie, numéro de téléphone recherches et recherches de personnes. Dans une tournure ironique, l’empire du marketing qui possède les propriétés en ligne piratées semble être dirigé par un homme canadien qui a été poursuivi pour fraude par le Commission fédérale du commerce des États-Unis, Microsoft et Oprah Winfreypour n’en nommer que quelques-uns.
Plus tôt cette semaine, un cybercriminel sur un forum Dark Web a publié un avis d’enchères pour l’accès à un panneau administratif basé sur le Web pour un « centre de recherche américain » non identifié qui, selon lui, détient quelque quatre millions de dossiers clients, y compris les noms, adresses e-mail, mots de passe et les numéros de téléphone. Le prix de départ de cette enchère était de 800 $.
Plusieurs captures d’écran partagées par le vendeur suggèrent que les clients en question avaient tous acheté des abonnements à une variété de sites qui regroupent et vendent des documents publics, tels que dmv.us.org, carhistory.us.org, police.us.orget criminalrecords.us.org.
Une capture d’écran (expurgée) partagée par le pirate apparent qui vendait l’accès aux noms d’utilisateur et aux mots de passe pour les clients de plusieurs sites Web de recherche de données.
Quelques heures de recherche en ligne ont montré que ces sites et des dizaines d’autres portant des noms similaires partageaient tous en même temps plusieurs numéros de téléphone gratuits pour le support client. Les résultats renvoyés par la recherche sur ces numéros suggèrent une raison singulière pour laquelle ce réseau de sites Web de recherche de données a changé si fréquemment leurs numéros d’assistance : ils ont rapidement été associés à des signalements de fraude en ligne par des clients en colère.
En effet, d’innombrables personnes qui ont été incitées à payer pour les rapports générés par ces services se sont plaintes plus tard que bien que les sites aient annoncé l’accès pour seulement 1 $, ils ont rapidement été frappés par une série de frais beaucoup plus importants sur leurs cartes de crédit.
À l’aide des enregistrements historiques d’enregistrement de sites Web obtenus auprès de Domaintools.com (un ancien annonceur sur ce site), BreachTrace a découvert que tous les sites étaient liés à deux sociétés liées – basée à Las Vegas, Nevada Commercialisation de pingouinset Groupe Terra Marketing hors de l’Alberta, au Canada.
Ces deux entités appartiennent à Jesse Willmsun homme L’Atlantique magazine décrit dans un profil de janvier 2014 peu flatteur comme « Le Seigneur des Ténèbres d’Internet » [not to be confused with The Dark Overlord].
Profil Linkedin de Jesse Willms.
L’Atlantique a pointé du doigt une poursuite tentaculaire déposée par la Federal Trade Commission, qui allégué qu’entre 2007 et 2011, Willms a fraudé les consommateurs de quelque 467 millions de dollars en les incitant à s’inscrire à des essais de produits « sans risque », puis en facturant à leurs cartes des frais récurrents pour une litanie de services automatiquement inscrits qu’ils n’avaient pas remarqués en petits caractères.
« En quelques mois seulement, les entreprises de Willms pouvaient facturer à un consommateur des centaines de dollars comme celui-ci, et faire cesser la vague de débits était un processus si compliqué pour ceux qui étaient piégés par l’un de ses stratagèmes que certains clients se contentaient d’annuler leurs cartes de crédit et d’ouvrir de nouveaux », a écrit The Atlantic’s Taylor-Clark.
Les diverses entreprises précédentes de Willms auraient été bien au-delà de la vente d’accès aux archives publiques. En fait, il est probable que tous ceux qui lisent cette histoire aient à un moment donné rencontré une publicité pour l’un de ses stratagèmes commerciaux douteux, appâts et interrupteurs, a noté The Atlantic :
« Si vous avez utilisé Internet au cours des six dernières années, votre curseur s’est probablement attardé sur les publicités des sites Web de Willms plus de fois que vous ne le pensez. Ses pitchs correspondent généralement bien à ce qui est devenu les classiques du genre publicitaire douteux : des tropes comme des photos de présentateurs de nouvelles avenants aux côtés de faux titres tels que « Shocking Diet Secrets Exposed! » ; des histoires trop belles pour être vraies d’une «maman du coin» qui «gagne 629 $ / jour en travaillant à domicile»; des grappes de liens textuels pour des blanchisseurs de dents miracles et des «échappatoires» vous donnant droit à des subventions gouvernementales; et le plus notoire de tous, des animations accrocheuses de disparition de la « graisse du ventre » associées à un slogan promettant les mêmes résultats si vous suivez « 1 vieux truc bizarre ». (Un indice : le « truc » consiste à taper 16 chiffres et une date d’expiration.) »
Dans un procès séparé, Microsoft a accusé les entreprises de Willms de faire le trafic de quantités massives de copies contrefaites de son logiciel. Oprah Winfrey a également poursuivi un site affilié à Willms (oprahsdietscecrets.com) pour l’avoir liée à des produits et services qu’elle affirmait n’avoir jamais approuvés.
BreachTrace a contacté plusieurs clients dont le nom, l’adresse e-mail et les mots de passe en clair ont été exposés dans la capture d’écran partagée par le commissaire-priseur du Dark Web qui a apparemment piraté les sites Web de Willms. Les trois personnes qui ont répondu ont partagé à peu près la même expérience : elles ont déclaré qu’elles avaient commandé des rapports pour des vérifications d’antécédents criminels spécifiques sur les sites sur la promesse de frais sans risque de 1 $, qu’elles n’avaient jamais trouvé ce qu’elles cherchaient et qu’elles avaient ensuite été frappées. par le même marchand pour des frais de carte de crédit allant de 20 $ à 38 $.
J’ai également envoyé un ping à plusieurs adresses e-mail de support client liées aux sites Web des courtiers en données qui ont été piratés. J’ai reçu une réponse d’un « Michel Stef», qui s’est décrit comme un développeur Web pour Terra Marketing Group.
Stef a déclaré que les captures d’écran semblaient légitimes et que la société enquêterait sur la question et alerterait les clients concernés si cela était justifié. Stef m’a dit qu’il doutait que l’entreprise ait quatre millions de clients, et que le vrai nombre était probablement plus proche d’un demi-million. Il a également insisté sur le fait que le panel en question n’avait pas accès aux données de carte de crédit des clients.
Néanmoins, il ressort de la preuve ci-dessus que Willms et plusieurs autres qui ont été nommés dans le Le jugement définitif de 2012 de la FTC a été stipulé (PDF) sont toujours à la hauteur de leurs vieilles astuces. La FTC n’a pas encore répondu aux demandes de commentaires. M. Willms non plus.
Je ne peux pas m’empêcher d’exprimer un certain sentiment de schadenfreude (schadenfraud?) à la victime dans cette affaire de piratage. Mais cet amusement est tempéré par le fait que les centaines de milliers, voire des millions de personnes qui se sont fait avoir en versant de l’argent à cette société sont très susceptibles de se retrouver victimes d’attaques de phishing et de fraude supplémentaires (en particulier bourrage d’informations d’identification) à la suite de la vente aux enchères de leurs données au plus offrant.
Le développeur Web de Terra Marketing Group, Mike Stef, a répondu à mes demandes à partir d’une adresse e-mail du domaine « tmgbox.com.” Ce message a contribué à identifier le lien avec Willms et Terra Marketing/Penguin. Afin de mieux informer les personnes qui pourraient souhaiter devenir de futurs clients de ce groupe, je publie la liste des domaines associés à tmgbox.com et ses entités mères. Cette liste peut être mise à jour périodiquement au fur et à mesure que de nouvelles informations apparaissent.
Au cas où cela serait utile pour d’autres, BreachTrace publie également les résultats de plusieurs recherches WHOIS inversées pour des domaines historiques liés aux adresses e-mail de plusieurs personnes que Mike Stef a décrites comme des « responsables principaux du support client » de Terra Marketing, car ceux-ci incluent également des informations intéressantes et domaines connexes (bien que pour la plupart morts).
Inverser le WHOIS sur Peter Graver et Jesse Willms ([email protected])
Inverser le WHOIS sur [email protected]
Inverser le WHOIS sur Jason Oster ([email protected])
Domaines de recherche de documents publics associés à Terra Marketing Group et Penguin Marketing :
memberreportaccess.com
publicrecords.us.org
dmvrecords.co
dmv.us.org
courtrecords.us.org
myfeeplan.com
police.us.org
warrantcheck.com
myinfobill.com
propertysearch.us.org
homevalue.us.org
carinfo2.com
backgroundchecks.us.org
arrestationrecords.us.org
propertyrecord.com
criminalrecords.us.org
jailinmates.us.org
rapportvehiculeusa.com
dmvinfocheck.com
carrecordusa.com
carhistoryindex.com
autohistorychecks.com
mugshots.us.org
trafficticket.us.org
prison.us.org
reversephonelookup.us.org
deathrecords.us.org
deathrecord.com
certificatsdemort.us.org
recensement.us.org
phonelookup.us.org
vehiclehistoryreports.us.org
vinsearchusa.org
BreachTrace tient à remercier la société de cybersécurité Intel471 pour leur aide dans la recherche de ce post.