Actualité

 

Jugement des trois pirates aux 130 millions de CB

Publié le 17-08-2009 à 19:08:40 dans le thème Banque

Pays : Etats-Unis - Auteur : Damien Bancal


Pub : Tous les logiciels antiphishing gratuits disponibles sur Internet


Note des lecteurs: 2.8/5

Exclusif : Les autorités américaines jugent les trois têtes pensantes d´un vaste réseau de piratage de cartes bancaires.

 

Ce lundi 17 août 2009, les autorités de l'Oncle Sam ont fait état du jugement de ce que le Département de la Justice Américaine considère comme la plus vaste fraude à la carte bancaire jamais jugée aux États-Unis. 130 millions de données bancaires seraient passées entre les mains des trois pirates jugés en ce moment. Les trois suspects voleurs ont été inculpés pour cinq intrusions dans les bases de données de Payment Systems, 7-Eleven Inc. et Hannaford Brothers. L'un des pirates, Albert Gonzales (28 ans) avait épluché le classement Fortune 500, qui répertorie les 500 premières entreprises mondiales sur la base du chiffre d'affaires, pour déterminer ensuite leurs vulnérabilités. Nous vous parlions de cette bande, l'année dernière quasiment jour pour jour après l'inculpation de 11 pirates faisant parti de ce réseau.

Onze personnes qui avait été inculpées par un tribunal de Boston (USA) pour le vol et la revente de quelque 40 millions de numéros de cartes de crédit. Des données bancaires obtenues, entre 2003 et 2005, en piratant les systèmes informatiques de neuf grands distributeurs américains. Le ministère de la Justice indiquait déjà qu'il s'agissait de la plus importante affaire de piratage et de vol d'identité jamais traitée. Les informations volées avaient été revendues sur Internet, à partir de forums et chans IRC très ciblés, à d'autres internautes et groupes mafieux. Les pertes se calculeraient en millions de dollars pour les clients des sociétés TJX Companies [lire], BJ’s Wholesale Club, OfficeMax, Boston Market, Barnes & Noble, Sports Authority, Forever 21 et DSW, Wal-mart [lire].

Des pirates que zataz.com vous avait présenté, ainsi que l'un de leur espace de "vente", en 2007 [lire]. Des pirates qui exploitaient les faiblesses des serveurs, comme ceux de TJX, pour mettre la main sur les données bancaires après avoir installé des sniffeurs et aspirés les bases SQL qu'ils pouvaient trouver. En octobre 2007, dans une déposition devant la cour de justice fédérale de Boston, Joseph Majka, le vice-président de VISA Usa déclarait [lire] que sa société avait alerté ses partenaires au sujet de 65 millions de comptes Visa compromis dans le piratage de TJX. Rien que pour VISA, la fraude TJX aurait coûté entre 68 millions et 83 millions de dollars. Officiellement MasterCard a annoncé 29 millions de cartes touchées par cette fuite. 65 + 29 = 94. TJX annonçait encore 45 millions d'informations compromises à la même date.

USA, Ukraine, Turquie, ...

Toute cette affaire a pris forme et une tournure rapide après l'arrestation d'un gros poisson du piratage informatique, le 2 août 2007. Un Ukrainien, Maksym Yastremskiy, avait été arrêté en Turquie (Lire) après avoir été accusé de commercialiser des données bancaires volées sur Internet. Il va s'avérer être un proche des actions pirates ayant visé la société TJX, maison mère des magasins Winners, HomeSenes, ... mais aussi des intrusions dans les serveurs des magasins Wal-Mart. L'escroc utilisait un forum et au moins deux channels IRC (Voir) pour commercialiser les données dérobées. L'une des failles se trouvait, entre autres, dans le logiciel censé crypter, chiffrer, donc rendre illisible, les données bancaires des clients.

Le FBI, les Services Secrets et plusieurs services de police de la planète (Canada, ...) avaient mis les bouchées double pour retrouver les pirates. Six d'entre eux seront arrêtés en mars 2007 (Lire). En septembre 2007, l'un des 6, Irving Escobar (19 ans), habitant de Miami (usa), avait été accusé d'avoir participé aux fuites bancaires ayant touché la société TJX. Il a été condamné à 5 ans de prison ferme et à rembourser 600,000 dollars. La maman d'Escobar a été renvoyée dans son pays, le Venezuela.

Les pirates jugés [Doc du DoJ] sont de diverses nationalités: américains, chinois, Ukrainiens, estoniens, russes et britanniques. Le cerveau de cette bande, Albert Gonzales (aka Sevgec) avait déjà été arrêté en 2003 pour le même type d'affaire. Il avait collaboré, à l'époque, pour faire arrêter des complices d'un autre piratage de masse de cartes bancaires.
 

Têtes de ... mûles 

Pour blanchir l'argent, les pirates ont acheté, avec les numéros bancaires piratés, des cartes cadeaux achetés en ligne sur les sites Wal-Mart et Sam's Club. Ils blanchissaient l'argent, ensuite, en payant bijoux, objets de luxe et matériel hi-tech via les cartes achetés illégalement. Les autorités ont estimé que cette arnaque aura coûté un total de 3 millions de dollars. Les banques, à travers les Etats-Unis, ont été forcées de rééditer les cartes bancaires que les pirates avaient pu collecter dans une base de données contenant 18 mois d'informations bancaires.

En France, le blanchiment d'argent par Internet fait auss des émules. En mai 2008, la brigade financiére de Montpellier mettait la main sur 4 français [lire] qui jouaient aux "mûles" pour le compte d'un pirate Tunisien. En juin 2007, 50 autres Français se faisaient épingler, dans toute la France, pour le même motif. Accepter de l'argent d'inconnus pour ensuite les renvoyer en Ukraine [lire].

Et les fiuites n'en finissent pas. Nous avons découvert, le 13 août 2009 un forum américain qui diffusait des centaines de données bancaires, dont plusieurs appartenant à des Français comme le montre l'extrait de notre capture écran. Noms, adresses, les 16 chiffres, la date de validié et le CCV, le code secret inscrit à l'arriére de la carte bancaire.

 

Comment se protéger ?

En France, nous avons la chance d'avoir des institutions bancaires réactives et une loi qui protége les consommateurs. Sachez qu'en cas de fraude, un dépôt de plainte auprès de la police ou de la gendarmerie est une obligation. Faites opposition en cas de prélèvement. Il est fortement conseillé de doubler cette plainte par un courrier recommandé avec accusé de réception auprès de vontre conseiller financier. Dans tous les cas, votre banque, après enquête, remboursera l'argent prélevé illicitement. Vous avez 70 jours pour agir, mais le plus tôt est le mieux (art. L. 132-6 / 132-4 du Code monétaire et financier).

Aujourd'hui, les banques proposent des solutions de carte unique de paiement, comme PayWeb card, par exemple, pour le Crédit Mutuel. Un moyen de paiment électroniue qui vous permet de créer un numéro de carte bancaire avec une autorisation de paiement à usage unique d’un montant que vous avez choisi pour une validité d’un mois. Une carte, un numéro, un montant. Vous souhaitez acheter une paire de baskets, un sac de marque, une montre, un jeu vidéo, un disque ? La banque va vous fournir un numéro à 16 chiffres, un CCV pour un montant que vous allez lui prédéfinir. Bref, même si un pirate met la main sur ces numéros, ils ne lui serviront à rien. Le commerçant aura été payé et votre compte en banque, et vos vraies données bancaires, protégées.

 

Conseiller cet article Réagir RSS ZATAZ Digger cet article ! Partager cet article avec mes amis sur Facebook ! Partager cet article sur del.icio.us

Derniers contenus

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Sur le même thème : Banque

Faille pour American Express

INFO ZATAZ - Prudence, une vulnérabilité sur le site d´American Express pourrait nuire à votre compte en banque.

Opération disaster today pour les banques britanniques

Pour préparer les Jeux Olympiques de 2012, les banques britanniques ont testé leurs résistances aux pirates informatiques, à la météo et aux bouchons autoroutiers.

Trop facile de pirater le Nasdaq

La cyber attaque qui a visé l´année dernière le NASDAQ a été facilitée par le manque de sécurité des boursicoteurs

Trois pirates de distributeurs de billets arrêtés

1500 personnes piratées, plus de 300.000 euros détournés. Trois pirates de cartes bancaires sous les verrous. ZATAZ.COm vous présente le matériel des pirates.

Un gang de pirates de données bancaires stoppé

INFO ZATAZ - Fin octobre, la police britannique a mis la main sur un réseau informatique pirate de données bancaires. Les pirates informatiques ont volé pour plus de 3.4 millions d'euros.

Bug informatique au Crédit Agricole... bis

Après avoir été débités deux fois, des clients sont crédités de l'argent trop perçu par la banque ... deux fois !

Un pirate de CB piégé par la boutique qu´il avait piraté

Un pirate de données bancaires se retrouve gagnant d´un faux jeu en ligne mis en place par la boutique qu´il avait escroqué quelques jours auparavant.

Piratage de carte bancaire : Skimmeur 3.0 est arrivé

Le piratage de carte bancaire passe à la vitesse supérieure. Une imprimante 3D utilisée dans le skimming de cartes de paiement.

Vos réactions ( 3 )

 Ecrit par RacKhaM le 18.08.2009 à 00h04 

#

ZATAZien


Inscrit le 30-07-2009

Trés interesant. Et y'en à lire!
on a même droit aux beaux biftons de ZATAZ.com! tongue.gif

 Ecrit par wow le 18.08.2009 à 00h29 

#

ZATAZ Admin


Inscrit le 07-05-2005

En France, malheureusement, tant qu'on obligera pas les sites de commerce électronique, qui souvent sauvegardes, le numéro de CB de leurs clients, à respecter au minimum certains standards de sécurité, les consommateurs et les banques seront les premières victimes.

 Ecrit par ZATAZ le 18.08.2009 à 09h56 

#

ZATAZ Admin


Inscrit le 07-05-2005

Update : D'après notre enquête, les données bancaires de Français trouvées auraient été volées sur un site étranger. Nous nous basons sur les coordonnées téléphoniques qui débutent par 00.

Réagir

Vous devez vous identifier pour ajouter un commentaire.

Cliquer ici pour vous inscrire.

 



ZATAZ.COm, site recommandé par ORANGE.       ZATAZ.COM trois fois récompensé par Microsoft

Vigilants.fr veille informatique sur les réseaux.
VPN, connexion securisee, haut débit plus de 1000Ko/s, traffic illimité et sans filtrage de ports ni de protocoles, plusieurs adresses et pays différents - service disponible 24h/24h
Application iPhone et iPad ZATAZ, gratuite et sans publicité.
Application iPhone et iPad ZATAZ, gratuite et sans publicité.



Labs ZATAZ

CVE-2011-3230 Apple Safari file:// Arbitrary Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Aaron Sigel Publication coordonnée de la vulnérabilité le 12-10-2011 PoC Metasploit fournit le 16-10-2011 PoC fournit par : Aaron Sigel sinn3r Référence(s) : CVE-2011-3230 HT5000 Version(s) affectée(s) : Safari 5.1 pour Mac OS X v10.6.8 Sa [...]

Modules Metasploit Auxiliaires MySQL

Metasploit fournit des modules auxiliaires pour la base de données MySQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes S [...]

Modules Metasploit Auxiliaires PostgreSQL

Metasploit fournit des modules auxiliaires pour la base de données PostgreSQL qui vous permettra de détecter la version du moteur de base de données, d’effectuer des attaques du type “brute force” au niveau de l’authentification sur la base de données, d’executer des requêtes SQL et li [...]

CVE-2011-0807 : Sun/Oracle GlassFish Server Authenticated Code Execution Metasploit Demo

Timeline : Vulnérabilité découverte par Jason Bowes et soumise à ZDI Notification initiale de ZDI vers le fournisseur le 23-09-20102 Publication coordonnée de la vulnérabilité le  19-04-2011 PoC Metasploit fournit le 04-08-2011 PoC fournit par : juan vazque [...]

Syndication RSS

nabaztag

  • http://www.wikio.fr
  • netvibes
  • NewsGator Online
  • Rojo
  • Bloglines
  • Google

ZATAZ mobile et PDA