Black market : remplir un chariot de courses pour quelques euros ?

Remplir un chariot de courses pour quelques euros ! Le business pirate peut avoir des formes multiples sur les Internets. L’un de ces moyens malveillants de faire des « affaires », vendre des achats chez E.Leclerc, Super U, Auchan et autre Carrefour à des prix défiants toutes concurrences.

Remplir un chariot de courses pour quelques euros ? Vraiment ? Plusieurs lecteurs de ZATAZ m’ont fait état d’une étonnante demande de la part de leur enseigne respective E.Leclerc. Il leur a été demandé de modifier le mot de passe de leur carte client. Des lecteurs basés à Nantes, Bergues ou encore la région parisienne. « La personne qui s’est chargé de cette modification, à l’accueil, m’a indiqué qu’il s’agissait d’un problème de sécurité nationale« . L’interlocutrice n’en dira pas plus. Fait étonnant, au moment de cette demande de modification, le site E.Leclerc, et son espace client dédié à la modification « de votre code secret » était en panne. J’ai interpellé par mail et sur Twitter le service communication de l’enseigne. Pas de réponse.

Dis @ELeclercLimoges @ELeclercSezanne @ELeclerc_Breau la société va-t-elle communiquer (ou pas) sur le problème visant les cartes clients et, je cite un personnel Accueil #ELeclerc "Suite à un pbm de sécurité à l'échelle nationale" ? @LeclercBonPlan #BonPlan #MoinsCher #ELeclerc pic.twitter.com/r016R70Oj1

— Damien Bancal (@Damien_Bancal) October 1, 2018

Ce mutisme m’a donc incité à me pencher sur ce qui a bien pu se passer chez E.Leclerc. Piratage ? Bug ? ou alors, tentative de bloquer des pirates aux business étonnamment juteux. Permettre de remplir son chariot pour 50%, 70% moins chers qu’en caisse. Mais comment est-ce possible ? Explication.

Blanchiment de CB piratées

Qu’il se nomme E.Leclerc, Carrefour, Super U, Auchan, des pirates proposent dans des black markets des options que n’avaient pas prévues les enseignes de la grande distribution. « Faites vous courses chez Leclerc pour 40% du montant initial » indique un vendeur. « Vos courses chez Carrefour Drive, pour 1/4 du prix. Votre panier est officiellement de 400€. Vous ne payez que 100€ » propose un autre de ces étranges commerçants cachés dans le dark net. Mais comment est-ce possible ?

D’abord, par le blanchiment de cartes bancaires piratées. Le « vendeur » récupère du cash via les clients intéressés par son business. Le commerce officiel se retrouve avec une commande de 400€. Le pirate paie la transaction avec des données piratées. Il n’a plus qu’à récupérer les 100€ de son darknaute. Celui qui veut acquerir le contenu du chariot. Bilan, Auchan, Carrefour, Super U, E.Leclerc, … se retrouvent avec 400€ de produits perdus. Le pirate vient de blanchir une donnée bancaire piratée (100€) qu’il a pu acquérir dans l’une des très nombreuses boutiques « shop » dédiées qu’il est possible de croiser dans le black market.

Cagnotte de vrais clients

L’autre méthode, il en existe plusieurs autres, est de mettre la main sur les cagnottes de vrais clients. Aussi étonnant que cela puisse paraitre, cette cagnote piratée peut se revendre. Dans ce cas, le pirate peut y avoir accès après une campagne de phishing bien ciblée. Bilan, il a accès à l’identifiant de connexion et utiliser cette cagnotte, ou la revendre. Comme ce fût le cas pour Intermarché, en mai 2018. Le phishing, l’hameçonnage de données, ne sert pas obligatoirement à mettre la main sur vos données bancaires. Accéder à votre compte client permet biens des malveillances pour un pirate. Espionnage, usurpation, revente, achat, … Attention aussi aux applications dans vos smartphones. Comprenez bien que choisir un mot de passe sérieux n’est pas un gadget. Si le pirate a votre mot de passe. Il installe l’application sur un téléphone de son choix. Bien évidement, pas son téléphone. Il n’a plus qu’à rentrer le mot de passe de votre compte. Il aura accès, par exemple, au QRCode qui lui ouvrira la commande, via la borne d’un drive, que vous deviez aller chercher en fin de journée !

La restauration rapide aussi concernée

En décembre 2015, je vous présentai « FastFoodator« . Un site qui donnait rapidement le ton : vous remplir le bide sans vous ruiner. L’idée, faire des commandes chez KFC, McDo, Quick et autres boutiques de restauration rapide et ne payer que quelques pièces. Via un “shop” dédiée, le client achète des crédits à un pirate. Par exemple, 8€ en bitcoins donne la possibilité d’acheter pour 30€ d’hamburgers chez McDonald. 12€ permet d’acheter pour 100€ chez AlloResto.

Les risques ?

En plus d’escroquer des données bancaires de personnes qui n’en demandaient pas tant, les clients de ce type de business pirates risquent gros. En janvier 2016, je vous expliquais comment trois personnes avaient été arrêtées, dans le Nord de la France, par les autorités. Ils avaient été cueillis par « La main noire » de la justice alors qu’ils venaient retirer des marchandises dans le Auchan Drive de la Ville de Roncq (59). Les escrocs de ce business du « faites vos courses pour pas cher » ne savaient pas que la carte bancaire utilisée appartenait à une personne vivant à plus de 1 000 Kms du Drive utilisé. C’est d’ailleurs pour cela que des boutiques pirates de cartes bancaires proposent aujourd’hui de choisir la marque de la CB piratée, mais aussi le pays, la ville, et pour certains, la boutique qui permet l’utilisation du moyen de paiement volé.

Pour les vrais clients, comme indiqué plus haut, attention à vos mots de passe et au mail que vous pouvez recevoir.