Pendant de nombreuses années et jusqu’à tout récemment, les données de cartes de crédit volées à des marchands en ligne valaient beaucoup moins dans le milieu de la cybercriminalité que les cartes volées dans des magasins physiques piratés. Mais de nouvelles données suggèrent qu’au cours de l’année écoulée, l’économie de l’offre et de la demande a contribué à doubler le prix moyen obtenu par les données non présentes sur la carte, ce qui signifie que les cybercriminels sont désormais beaucoup plus incités que jamais à cibler les magasins de commerce électronique.
Traditionnellement, le prix moyen des données de carte récupérées auprès des détaillants en ligne – appelé dans le métro « CVV” – a varié entre 2 $ et 8 $ par compte. Les CVV sont presque exclusivement achetés par des criminels qui cherchent à effectuer des achats non autorisés dans des magasins en ligne, une forme de vol connue sous le nom de « carte non présente« escroquerie.
En revanche, la valeur de « décharges« – l’argot des hackers pour les données de carte glissées dans les magasins de détail, les hôtels et les restaurants compromis à l’aide de logiciels malveillants installés sur les systèmes de point de vente – a longtemps oscillé entre 15 et 20 dollars par carte. Les dépotoirs permettent aux voleurs de rue de créer des clones physiques de cartes de débit et de crédit, qui sont ensuite utilisés pour perpétrer ce qu’on appelle « carte présente” fraude dans les magasins de brique et de mortier.
Mais selon Conseil Gémeauxune société basée à New York qui travaille avec des institutions financières pour surveiller des dizaines de marchés clandestins trafiquant dans les deux types de données, au cours de l’année écoulée, la demande de CVV a largement dépassé l’offre, ramenant les prix des CVV et des décharges à peu près en ligne avec chacun autre.
Prix médian de la carte non présente (CNP) par rapport à la carte présente (CP) au cours de l’année écoulée. Image : Gémeaux
Stas Alforovdirecteur de la recherche et du développement chez Gemini, affirme que son entreprise surveille actuellement la plupart des magasins clandestins qui vendent des données de cartes volées, y compris des poids lourds tels que Joker’s Stash, Trump’s Dumps et .
Contrairement à la croyance populaire, lorsque ces magasins vendent un CVV ou un dump, cet enregistrement est ensuite supprimé de l’inventaire des articles à vendre, permettant aux entreprises qui suivent cette activité de déterminer approximativement combien de nouvelles cartes sont mises en vente et combien ont été vendues. . Les marchés clandestins qui, autrement, gagnent rapidement une réputation parmi les criminels pour la vente de données de cartes non fiables et sont rapidement contraints de fermer leurs portes.
« Nous pouvons voir pratiquement en temps réel ce qui est vendu et quels marchés sont les plus actifs ou ont le plus grand nombre de disques et où les méchants achètent le plus », a déclaré Alforov. « La plus grande tendance que nous avons constatée récemment est qu’il semble y avoir une demande beaucoup plus importante qu’il n’y a d’offre de données non présentes sur les cartes téléchargées sur ces marchés. »
Alforov a déclaré que les décharges sont toujours en avance en termes de nombre total de disques compromis à vendre. Par exemple, au cours de l’année écoulée, Gemini a vu quelque 66 millions de nouveaux dépotoirs apparaître sur les marchés souterrains, et environ la moitié du nombre de CVV.
« La demande de données non présentes sur les cartes reste forte alors que l’offre n’est pas aussi importante que les méchants en ont besoin, ce qui signifie que les prix n’ont cessé d’augmenter », a déclaré Alforov. « Beaucoup de méchants qui faisaient de la fraude par carte se tournent maintenant vers la fraude par carte absente. »
L’une des raisons probables de ce changement est que les États-Unis sont le dernier des pays du G20 à faire la transition vers des cartes de paiement à puce plus sécurisées, ce qui rend lentement plus difficile et plus coûteux pour les voleurs de transformer les décharges en argent sonnant et trébuchant. Cette même augmentation de la fraude sans carte s’est produite dans pratiquement tous les autres pays qui ont depuis longtemps fait la transition vers la carte à puce, y compris l’Australie, le Canada, la France et le Royaume-Uni.
La valeur croissante des données CVV peut aider à expliquer pourquoi nous avons constaté une telle augmentation au cours de l’année écoulée du nombre de sites de commerce électronique piratés. Dans une intrusion typique d’un détaillant en ligne, les attaquants utiliseront les vulnérabilités des systèmes de gestion de contenu, des logiciels de panier d’achat ou des scripts hébergés par des tiers pour télécharger un code malveillant qui capture les détails de paiement des clients directement à partir du site avant qu’ils ne puissent être chiffrés et envoyés aux processeurs de cartes. .
Recherche publié l’année dernière par Thales eSecurity a constaté que 50 % de tous les détaillants en ligne de taille moyenne et grande interrogés ont reconnu avoir été piratés. Ce chiffre était plus de deux fois et demie plus élevé qu’un an plus tôt.
BIG BANG CONTRE. FAIBLE ET LENTE
Une grande partie de l’attention des médias s’est portée sur les piratages récents contre les grands détaillants en ligne, comme ceux des sites Web de British Airways, Ticketmasteret géant de l’électronique NouveauOeuf. Mais ces incidents ont tendance à éclipser un grand nombre de compromis « faibles et lents » chez des détaillants en ligne beaucoup plus petits – qui mettent souvent beaucoup plus de temps à se rendre compte qu’ils ont été piratés.
Par exemple, en mars 2019, une analyse des données de Gemini suggérait fortement que les criminels avaient compromis Ticketstorm.com, une entreprise basée dans l’Oklahoma qui vend des billets pour une gamme d’événements sportifs et de concerts. En remontant plusieurs mois en arrière dans ses données, Gemini a déterminé que le site avait probablement été piraté pendant plus de deux ans, permettant aux intrus d’extraire environ 4 000 CVV des clients du site chaque mois et environ 35 000 comptes au total depuis février 2017.
Ticketstorm.com n’a pas répondu aux demandes de commentaires, mais une personne de l’entreprise qui a répondu à un appel de BreachTrace a confirmé que Ticketstorm avait récemment entendu parler de Gemini et d’enquêteurs sur la fraude par carte des services secrets américains.
« Ce ne sont pas seulement les grands sites qui se font sauter, ce sont surtout les petites et moyennes entreprises qui sont compromises pendant de longues périodes », a déclaré Alforov. « Ticketstorm n’est qu’une des dix ou vingt infractions différentes que nous avons vues où les fraudeurs vendent ce qu’ils ont collecté, puis reviennent et en collectent davantage sur plusieurs années. »
À certains égards, les CVV sont plus polyvalents pour les fraudeurs que les décharges. En effet, environ 90 % des dépotoirs à vendre dans le métro ne sont pas accompagnés d’autres points de données sur les consommateurs nécessaires pour effectuer diverses transactions en ligne, comme le nom ou l’adresse de facturation du titulaire de la carte, a constaté Gemini.
Cela est particulièrement vrai lorsque les données CVV sont collectées ou modifiées par des sites de phishing, qui demandent souvent aux consommateurs involontaires de divulguer d’autres informations personnelles pouvant contribuer au vol d’identité et à la fraude à l’ouverture d’un nouveau compte, notamment le numéro de sécurité sociale, la date de naissance et le nom de jeune fille de la mère.
Tout cela signifie que les détaillants de commerce électronique doivent intensifier leur jeu lorsqu’il s’agit d’éloigner les voleurs de cartes. Ce rapport détaillé à partir de Trustwave contient un certain nombre de suggestions utiles que les sites peuvent envisager pour une approche de défense en profondeur pour lutter contre un champ de plus en plus encombré de groupes criminels se concentrant davantage sur le vol de données CVV.
« Il y a beaucoup plus d’incitations que jamais pour les voleurs à compromettre les sites de commerce électronique », a déclaré Alforov.