Publié le 18-01-2010 à 15:03:12 dans le thème Banque

Pays : International - Auteur : Damien Bancal

Pub : Logiciels de sécurité et de protection Internet

Un administrateur du site Darmarket plaide coupable. L´ancien livreur de pizza, reconverti en pirate de cartes bancaires risque 10 ans de prison.

2008, le FBI mettait à jour plusieurs (56) pirates informatiques d'envergures via une infiltration électronique. Depuis 2006, le site Darmarket, un supermarché underground de données bancaires piratées, était infiltré par le FBI. Deux ans plus tard, plusieurs importants contributeurs/créateurs/administrateurs étaient arrêtés dont le fameux cha0 (Un pirate turc du nom de Cagatay Evyapan, NDR).

Nous venons d'apprendre qu'un autre administrateur de ce site, Renukanth Subramaniam (alias JiLsi - Un sri-lankais de 33 ans) venait de passer devant la justice londonienne. Il a plaidé coupable et risque aujourd'hui 10 ans de prison. L'ancien livreur de pizza a admis faire parti des fondateurs du forum pirate Darkmarket. Fort de 2.500 membres, Darkmarket était accessible que dans la condition ou les futurs membres avaient pu fournir 100 cartes bancaires (numéros, ...) piratées. Les administrateurs vérifiaient les données et leur validité. Le site était connu pour avoir un code de l'honneur très stricte. Administrateur jusqu'en octobre 2006, Renukanth Subramaniam sera rétrogradé après avoir laissé fuir, par erreur, des informations. Il sera arrêté en juillet 2007 après avoir été convoqué par la police de Wembley.

La semaine dernière, un membre de Darkmarket, John McHugh, 69 ans, a plaidé coupable de fraude et conspiration. Il a reconnu être un pirate de cartes bancaires connu sous le pseudonyme de Devilman.

Cha0 et ses amis

Le pirate informatique Chao, arrêté en septembre 2008, diffusait des vidéos expliquant comment bien pirater un distributeur de billets. ChaO était "LE" revendeur de matériels de la planète pirates de données bancaires. Il était le plus gros distributeurs de skimmeurs et autres pièges électroniques pour ATM (distributeurs de billets).

Le pirate n'hésitait pas à commercialiser des outils très pros mais aussi des vidéos comme celle ci-dessous. Parmi ses conseils, Cha0 indiquait de ne pas installer de piège à cartes bancaires dans une commune de moins de 15,000 habitants "Les gens sont trop habitués à leur ATM". Il proposait aussi d'installer ce genre de matériel dans la soirée "car les gens sont plus réceptifs le matin, ils font plus attention." Le pirate Turc confiait aussi qu'il ne fallait pas installer de piégé à cartes bancaires dans des boutiques ouvertes 24 heures sur 24 ou dans des régions ou les immigrants illégaux sont nombreux. 56 arrestations ont été orchestrées dans le monde (Royaume-unis, Allemagne, USA, Turquie, ...)

Le FBI indique que cette opération a permis d’éviter une perte financière estimée à 70 millions de dollars. Le FBI est dans l'incapacité de savoir combien les pirates ont pu détourner. Le FBI affirme par exemple que plusieurs ordinateurs de Wall Street ont été menacés. Du côté des plaintes, la division cybercrime du FBI précise en recevoir 20 000 par mois. Dark Market proposait : "Online-carding service-providers (cvvs, cob's, logins, ebay accounts etc.)" - Piratage de compte eBay, ... "Real-carding service-providers (dumps, card-blanks, skimmers, MSR, holo etc.)", le clonage de cartes bancaires, ... "Cashing services (WU/MG cashiers, wire, ACH, drops etc.)", l'élevage et le recrutement de mûles, des blanchisseurs d'argent volé.

Un site de perdu, dix de cachés

Pendant que la justice continue de remonter, tant bien que mal, les lignes Darkmarket, sur le web, les sites de ventes de données bancaires n'ont jamais été aussi prospére. Peut-être que certains sont infiltrés. En attendant, les propositions commerciales n'ont jamais été aussi nombreuses. Autocollants, hologrammes, bandes magnétiques, bandes réagissants aux ultra violet, cartes bancaires de toutes marques. Les derniers tarifs, croisés ce lundi matin, 18 janvier, varient de 3 à 10 dollars la Master Card américaine. 20 dollars, les données bancaires européennes. 10 dollars pour du Canadien ou Amenx. 17 dollars pour une carte bancaire asiatique. A noter que le numéro de sécurité sociale se commencialise entre 30 et 60 dollars. Voici, ci-dessous, quelques exemples diffusés dans des forums privés et très spécialisés.

La fraude – menaces et opportunités actuelles

La fraude est-elle responsable de l´actuelle crise financière mondiale ? Sans doute pas directement, mais elle a certainement joué un rôle significatif.

Les banques rencontrant des problèmes de liquidités avec pour conséquence une réduction des crédits accordés, les activités frauduleuses, qui peuvent entraîner la perte de clients et un affaiblissement de la confiance du marché, aggravent la situation de manière indirecte : les institutions doivent prendre en charge les coûts d’engagement pour le remplacement d’une carte qui handicape les clients suite à des transactions bloquées par erreur, sans parler de la perte de centaines de millions de dollars suite par exemple à du trading pourri.

La crise a provoqué un vent d’angoisse sur les économies et elle a des effets sur chacun, des sociétés multinationales à monsieur Tout-le-monde. Elle a propulsé les institutions financières en pleine lumière et entraîné une levée de questionnements sur la manière dont elle opèrent et sont contrôlées. Elle a également mis en évidence certaines faiblesses dans le système bancaire et entraîné un bouleversement du paysage financier qui a vu des institutions majeures se contracter, d’autres fusionner et un nombre considérable de sociétés –autant en Europe qu’aux Etats-Unis – recevoir le secours des gouvernements.

Avec le dramatique manque de fonds ayant amené à la situation désastreuse du marché du crédit, les activités frauduleuses sont un élément que les institutions financières ne peuvent se permettre d’ignorer. La Banque Barings, la Société Générale et les Caisses d’Epargne, pour ne citer que les plus récentes victimes, ont annoncé une perte de plus de 750 millions d’Euros dans le courtage de produits financiers dérivés. Ces exemples d’institutions de premier plan victimes de fraude interne ont eu un impact immédiat en termes de perte d’argent, sur l’image et sur la confiance des clients, parmi d’autres conséquences.

Le coté irritant de tout cela tient au fait que la plupart des institutions ont historiquement pris en compte la surveillance et le travail d’investigation sur la fraude en les plaçant au niveau groupe ou branche. Cette approche disparate en silo a été renforcée par le fait que la majorité des institutions ne s’appuient pas sur un outil unique, regroupant une plate-forme de gestion et de vérification et des outils analytiques sophistiquées capables d’investiguer à travers des environnements multiples, qui permet de combattre la fraude au sein des organisations. Ce constat est confirmé par les résultats de l’étude commanditée par Actimize en 2008 : l’étude Rogue Trading Peer Review, réalisée conjointement avec le cabinet indépendant Infosurv révèle que 74 % des personnes ayant répondu ont indiqué qu’elles n’avaient pas de solution en place tandis que seulement 32 % reconnaissaient faire appel à une plate-forme de case management unique.

Le problème réside dans le fait que les informations sur les activités frauduleuses se dissimulent dans une large variété de sources : dans les cartes, via internet, dans le courtage, dans les paiements, dans les ressources humaines et dans l’informatique. Les organismes de contrôle comme la FSA exigent désormais une identification des appels téléphoniques, en complément de l’obligation de surveillance des transactions. Sans la mise en place d’un système analytique transversal unifié, les différentes bases de données n’entrent pas dans un référencement multi-source et lorsque ces activités font l’objet d’une enquête, elles le sont de manière individuelle sans prise en compte des efforts simultanés déployés par d’autres groupes d’investigation.

L’étude d’Actimize Enterprise-Wide Tools to Fight AML and Fraud Peer indique que 53 % des interrogés clôturent d’eux-mêmes certaines alertes sur des activités suspectes sans mener l’enquête à fond. Cela s’explique sans doute par un manque de ressources et une incapacité à identifier au niveau entreprise ce qui est le plus important. Dans ce type de schéma, les fraudeurs apprennent rapidement comment contourner les systèmes de contrôle internes fragmentés et les institutions ont toutes les difficultés à détecter leurs activités.

Il est réellement nécessaire d’avoir une équipe ou un collaborateur dédiés pour prendre le problème dans son ensemble, et analyser les comportements et les événements à travers les différents canaux et silos, émergents ou en repli, afin d’avoir une vision pertinente du fonctionnement de la société. A partir de là, il devrait être possible de repérer toute fluctuation anormale dans les activités des clients et des salariés, généralement invisible lorsque l’on se contente de ne regarder qu’une activité ou un silo séparément et au cas par cas. C’est le seul moyen de comprendre et d’intercepter potentiellement une fraude.

L’augmentation des incidents de corruption de données en masse et des intrusions sur les données des titulaires de cartes dans le monde a également soulevé des inquiétudes considérables dans l’opinion publique et les institutions financières. Le défi que les institutions doivent relever, à la différence de ce qui se faisait dans le passé, est qu’elles ne peuvent plus simplement annuler un compte corrompu, à cause de l’ampleur de leur nombre. Elles doivent à l’inverse s’appuyer sur des systèmes analytiques sophistiqués pour détecter un maximum d’activités suspectes.

Depuis que le Royaume-Uni a adopté la puce électronique et le code PIN pour ses cartes, il a vu une réduction drastique des fraudes sur les retraits sur guichets automatiques et points de vente. Cependant, les fraudeurs ont complexifié très fortement leurs méthodes d’attaques, ont élevé leurs niveaux d’expertise technique et se sont détachés des vieilles méthodes telles que les faux lecteurs de cartes et les faux systèmes de vidéo surveillance, le chiffrement du code confidentiel ou encore la complicité d’employés.

Malheureusement, la puce électronique et le code PIN n’ont pas complètement résolu la question, ainsi que l’on peut le constater avec la fraude extraterritoriale : les informations de la carte sont dérobées au Royaume-Uni (procédé connu sous le nom de « skimming ») et sont soit envoyées à l’étranger, soit mises en vente sur des sites spécialisés comme le forum cité, Darkmarket. Une fois que les informations dérobées sont achetées, les criminels peuvent facilement retirer de l’argent des distributeurs de billets à l’étranger puisque la majorité d’entre eux ne prennent pas en compte la carte à puce. Si la banque n’a pas mis en place une solution de prévention en temps-réel efficace, le temps que la décision soit prise, le retrait a déjà eu lieu et il est trop tard.

La fraude« en absence physique de carte» a cru fortement, elle aussi, par le biais des transactions à distance qui ne nécessitent pas l’usage de la puce. La difficulté dans la détection de ce type de fraude provient de l’incapacité des solutions existantes à détecter et analyser la localisation de la vente au moment où les transactions sont enclenchées. C’est particulièrement vrai avec les transactions en ligne ou les transactions MOTO (Mail Order / Telephone Order).

La récente initiative britannique pour le paiement rapide est un exemple d’initiative approuvée par l’industrie ayant rendu la détection des fraude plus complexe. Les banques ont moins de temps pour suivre et vérifier les transactions, ce qui a conduit à des taux de fraudes plus élevés. Ces fraudes n’ont à nouveau baissé en intensité qu’après que les banques eurent déployé des systèmes de prévention en temps réel modernes. Un client d’Actimize a pu constater que les tentatives de fraude ont baissé seulement quelques jours après la mise en place d’une telle solution, démontrant combien les groupes criminels organisés sont prompts à réagir et à évoluer face à chaque action des banques.

Les coûts et les ressources nécessaires pour résoudre ces problèmes peuvent avoir des effets significatifs pour les institutions financières de toutes tailles, car cela dépend en réalité de la valeur de la corruption que l’on s’autorise. L’érosion de la confiance des clients influe également de manière conséquente sur le compte final, créant un besoin immédiat de restauration de la confiance dans la sécurité des cartes de débit et de crédit.

Les incidents globaux sur la fraude et les importants incidents de corruption en masse doivent être considérés avec gravité. En tant que place financière majeure, le Royaume-Uni est sans conteste en première ligne pour le crime organisé et la fraude internationale. Dans la mesure où c’est dans ce pays que transitent beaucoup de produits bancaires sophistiqués, dans une multitude de canaux, les institutions britanniques possèdent une attractivité forte pour les criminels et sont notamment les plus attaquées au monde en technique de phishing (hameçonnage), pour ne citer qu’un exemple.

Pour Amir Ovad, European Vice-President et Directeur Marketing chez Actimize, la fraude sera toujours considérée comme une aubaine alléchante pour les criminels et en conséquence une menace. Il existe des solutions disponibles sur le marché. Les institutions financières ont plus que jamais besoin de déployer une technologie de gestion des risques en temps réel efficace, qui soit capable d’analyser en même temps plusieurs canaux et également d’avoir la vue d’ensemble la plus large possible afin de saisir au mieux tout le schéma transactionnel, cela non seulement pour protéger leurs clients et elles-mêmes, mais également le monde économique et financier dans son ensemble. Je reste convaincu que les organisations qui partagent ce point de vue auront d’emblée un coup d’avance par rapport à leurs concurrents et au final en récolteront de grands bénéfices.

Tweet

L´ANSSI recrute de manière originale

06-02-2012 à 19:16 - 0 commentaire(s)

INFO ZATAZ - L´Agence Nationale de la Sécurité des Système d'Information lance un recrutement fort sympathique pour les amateurs de chiffrement.

Nouvelle attaque à l´encontre des clients du Crédit Agricole

05-02-2012 à 10:43 - 0 commentaire(s)

INFO ZATAZ - Nouvelle tentative de vol de données bancaires appartenant aux clients de la banque française Crédit Agricole.

Sauvegarde des conversations téléphoniques pour France télévision

04-02-2012 à 11:42 - 0 commentaire(s)

INFO ZATAZ - Un document intéressant mis à jour sur Internet visant les sociétés souhaitant faire du business avec France Télévision.

Faille sur le site Wikileaks

04-02-2012 à 11:27 - 0 commentaire(s)

INFO ZATAZ - Une faille sur le site Wikileaks permet d´afficher n´importe quoi, donc de fausses informations, sur le portail international d´information.

Piège sur Facebook

04-02-2012 à 10:59 - 0 commentaire(s)

INFO ZATAZ - Un escroc se fait passer pour Coca Cola, sur Facebook, afin de mettre la main sur vos données privées.

Arnaque aux logements

04-02-2012 à 10:53 - 0 commentaire(s)

INFO ZATAZ - Depuis quelques heures, un escroc tente de louer de faux appartements en région parisienne. ZATAZ vous l´a délogé.

Une conférence téléphonique du FBI piratée par des Anonymous

04-02-2012 à 10:21 - 1 commentaire(s)

INFO ZATAZ - Une conférence téléphonique entre FBI et plusieurs polices européennes, dont la France, au sujet des Anonymous, interceptée.

La Ville de Chambéry corrige une fuite de données

04-02-2012 à 10:05 - 1 commentaire(s)

INFO ZATAZ - Avec l´aide du CERTA, le site Internet de la ville de Chambéry bouche une fuite de données concernant les administrés de cette commune Française.

Faille pour American Express

INFO ZATAZ - Prudence, une vulnérabilité sur le site d´American Express pourrait nuire à votre compte en banque.

Opération disaster today pour les banques britanniques

Pour préparer les Jeux Olympiques de 2012, les banques britanniques ont testé leurs résistances aux pirates informatiques, à la météo et aux bouchons autoroutiers.

Trop facile de pirater le Nasdaq

La cyber attaque qui a visé l´année dernière le NASDAQ a été facilitée par le manque de sécurité des boursicoteurs

Trois pirates de distributeurs de billets arrêtés

1500 personnes piratées, plus de 300.000 euros détournés. Trois pirates de cartes bancaires sous les verrous. ZATAZ.COm vous présente le matériel des pirates.

Un gang de pirates de données bancaires stoppé

INFO ZATAZ - Fin octobre, la police britannique a mis la main sur un réseau informatique pirate de données bancaires. Les pirates informatiques ont volé pour plus de 3.4 millions d'euros.

Bug informatique au Crédit Agricole... bis

Après avoir été débités deux fois, des clients sont crédités de l'argent trop perçu par la banque ... deux fois !

Un pirate de CB piégé par la boutique qu´il avait piraté

Un pirate de données bancaires se retrouve gagnant d´un faux jeu en ligne mis en place par la boutique qu´il avait escroqué quelques jours auparavant.

Piratage de carte bancaire : Skimmeur 3.0 est arrivé

Le piratage de carte bancaire passe à la vitesse supérieure. Une imprimante 3D utilisée dans le skimming de cartes de paiement.

Réagissez à ce contenu