Visite d’un supermarché dédié aux cartes bancaires piratées

Avec les vacances, les cartes bancaires sont plus facilement au soleil. Méfiez-vous ! Vos informations sont peut-être déjà dans une grande surface numérique de la donnée bancaire volée.  Découverte ZATAZ !

Les pirates informatiques, du moins ceux spécialisés dans les données bancaires, ne perdent pas une minute dès qu’il est question de commercialiser les informations qu’ils ont pu voler. Leur mission, intercepter les numéros des cartes bancaires, avec le code de sécurité (CVV) et la date de validé.

Pour cela, plusieurs choix. Piratage de site Internet ; installation d’un faux lecteur sur un distributeur de billets [skimming] ; modification de lecteurs de CB dans une boutique, un restaurant. Bref, les choix sont malheureusement multiples. Vous ne devez pas être paranoïaque, mais vigilant.

Par exemple, hors de question qu’un commerçant, un serveur, embarque votre CB vers le lecteur de paiement, caché derrière sur le bar. Vous ne devez jamais perdre de vue votre « précieux ». En cas de possibilité de paiement sans contact, votre accord doit être demandé. Sur Internet, préférez le paiement par Paypal ou via une carte bancaire dédiée à Internet. Même si la boutique vous affiche des dizaines de certificats de sécurité, du HTTPS, … l’informatique est ce qu’elle est, la sécurité à 100% n’existe pas. Une simple injection SQL peut mettre à mal n’importe quelle base de données.

En ce qui concerne la carte de paiement Internet, votre banque doit vous proposer ce service. Cette carte unique, dédiée à un montant précis, pour un achat précis permet de réaliser votre acquisition sur Internet ou par correspondance. Un numéro spécial est créé à chaque transaction. Bilan, si un pirate ou une fuite (technique/humaine) diffusent ce numéro de CB web, pas d’inquiétude, les coordonnées de votre véritable carte ne sont pas impactées. Le pirate n’a rien, sauf un numéro inutile. Des cartes bancaires uniques baptisées PayWeb Card au Crédit Mutuel, e-Carte à la Caisse d’Epargne, Paylib à la BNP Paribas. En ce qui concerne le skimming, regardez notre pas-à-pas pour éviter de vous faire plumer aussi simplement que de copier un CD.

Le Super marché de vos données bancaires

Une fois les données volées, les pirates ne vont pas exploiter eux-mêmes les données dérobées. Ceux qui le font ne durent jamais bien longtemps. Ceux qui achètent non plus d’ailleurs. ZATAZ a mis la main ce week-end sur une boutique qui propose plus de 2 millions de cartes bancaires. Des bases de données  provenant de dizaines de sites web piratés. D’après l’un des « vendeurs », un site appartenant à l’enseigne de mode Louis Vuitton serait l’un des gros fournisseurs du moment. Une fuite qui approvisionnerait ce marché parallèle.

La boutique permet de chercher par pays et types de cartes.

La boutique permet de chercher par pays et types de cartes.

Dans la liste de CB qui nous avons pu apercevoir dans cet espace de Black Market, des informations bancaires provenant des USA, d’Asie, de Belgique, de Suisse, du Luxembourg, de France. Pour l’hexagone, des centaines de cartes bancaires, vendues entre 20 et 27 $. Dans leur boutique, les pirates affichent le nom de la base de données contenant les informations à vendre, le type de carte (Visa, Mastercard), la banque, la date de validé de la CB en question, la ville et le code postal du porteur de la carte bancaire dérobée.

ZATAZ a pu constater des CB volées à des habitants de Noisy le grand (93), St Martin Boulogne (62), La Madeleine (59), Etrachy (91), Saint Lambert la Potherie (49), Le Havre (76), Metz (57), Layrac sur Tarn (31), Biarritz (64), Rouen (76), Aix-les-Bains (73), vitry sur seine (94), Issy les Moulineaux (92), … Côté banque, BNP Paribas, Société Générale, EUROPAY FRANCE SAS, CIC, Crédit Mutuel, La Poste, Crédit Agricole, NATIXIS, Crédit Lyonnais, Crédit du Nord, …

Il est possible de choisir la banque, la région, le pays, la carte, ...

Il est possible de choisir la banque, la région, le pays, la carte, …

Dans cette boutique, un service après-vente qui vous propose de remplacer les données bancaires acquises, mais qui ne fonctionnerait pas. Remboursement ou fourniture d’une nouvelle donnée possible. Les prix varient selon les banques, les cartes, les provenances géographiques. Un diner club international du Canada est vendue 62 dollars ; une American Express, de 10 $ à 60 $ pièce. Une Platinum française Mastercard, dont la date expire en 2016, 64 $. Les pirates ne manquent pas « d’humour » et baptisent les bases de données avec de petits noms comme « vendeuse de 82928 glaces » ; « Ours poisson » ; « Bob le Jazzman » ; « Docteur Chew » …

Côté paiement, rien de plus simple. L’acheteur peut passer par Western Union, LessPay, Bitcoin, MoneyGram, WebMoney, Cryptocheck, Perfect Money ou encore Paymer. « Ne pas utiliser la même adresse Bitcoin pour d’autres achats » soulignent les vendeurs. La boutique dispose aussi d’un outil pour les vendeurs. Un analyseur de base de données. Il suffit de joindre le fichier volé pour savoir si les données contenues dans ce dernier ont déjà été proposés à la vente. Bref, si vous ne prenez pas soin de votre carte bancaire, rassurez-vous (ou pas !), les pirates s’en chargeront.

Que dit la loi ?

Pour ce genre de boutique, installée en Équateur, et dont l’instigateur vit paisiblement entre l’Asie et un pays de l’Est, il n’y a pas grand risque. Jusqu’au jour ou il sera piégé par un agent du FBI, d’Interpol, Europol, … comme pour le cas du forum Darkode. Pour les acheteurs, vendeurs, utilisateurs. En plus du plan pénal lié au piratage informatique, quelques incidences viennent noircir le tableau. D’abord la complicité, en fournissant les moyens d’accomplissement d’un délit. En mettant à disposition votre connexion Internet, votre adresse physique (pour recevoir les produits acquis frauduleusement, …). La peine applicable est identique à celle de  l’auteur principal du délit. Vous achetez une CB volée, vous êtes aussi fautif que le vendeur (Art L 121-6 et -7 du Code Pénal). Autant dire que le vendeur, tranquillement assis sur sa chaise longue à Hong Kong ou à Quito continuera de siroter son mojito pendant que son complice tentera de finir son sandwich sec dans la cellule du commissariat qui vient de l’accueillir.

Que dit votre banque ?

En cas d’achat frauduleux effectué avec votre carte bancaire, et dans la mesure de la non utilisation du mot de passe, les banques remboursent après un dépôt de plainte. N’hésitez surtout pas à doubler la plainte par un recommandé, avec accusé de réception auprès de votre agence. En cas de phishing, attention, les sociétés financières remboursent de moins en moins. Elles mettent en avant le fait qu’elles communiquent suffisamment sur le filoutage pour considérer comme entièrement responsable son client piégé. Dernier point, si votre mot de passe de CB est utilisé, priez pour que les services de veilles des banques, qui sont de plus en plus efficaces, découvrent rapidement que vous n’êtes pas l’auteur des achats effectués au Pérou, en Chine ou en Belgique alors que vous dormez, tranquillement, chez vous à Saint-Flour, dans le Cantal !

Au sujet de l'auteur
Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Articles connexes

  1. Biro Reply

    « Jusqu’au jour ou il sera piégé par un agent du FBI, d’Interpol, … comme pour le cas du forum Darkode. »

    Hi, hi. Les ‘agents’ d’Interpol n’existent que dans les nanards de ninja des années 80 produits à Hong-Kong (Godfrey Ho). Interpol ne fournit que du renseignement (ça veut pas dire qu’ils sont inutiles, hein).

    Très bon article.

  2. Hello! Reply

    Je ne comprend pas, pourquoi certains sites copient les numéros de carte et les CVV dans leur base de données ? Où est l’intérêt ? J’ai jamais comprit pourquoi… si quelqu’un pourrait m’éclaircir !

    Merci 🙂

    • Damien Bancal Reply

      Bonjour,
      Certains développeurs, sociétés, vont au plus simple. Ils pensent d’abord à l’argent qu’ils veulent récolter. Moins il y a de frais dans un site, moins il coûtera. Chiffrer les données à un coût ; sécuriser à un coup ; dissocier les serveurs à un coût ! Ce genre de société ne pense pas aux coût, après un piratage qui est souvent… leur mort ! Ils y réfléchiront, peut-être, quand le législateur pensera à protéger le citoyen, en imposant la déclaration en cas de fuite/piratage. Quand il obligera le courrier en recommandé, avec accusé de réception. Une société qui à 200.000 clients et qui devra payer plus de 7€ par courriel y réfléchira (peut-être) à 2 fois !

Répondre à Hello! Annuler la réponse

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.