Les marchés qui échangent des détails de cartes de crédit volées sont un incontournable de la scène clandestine depuis des années, mais les récentes explosions de la cybercriminalité – ainsi que les sanctions découlant de la guerre en Ukraine – mettent la pression sur les cybercriminels.
Les magasins de cartes offrent une plate-forme pour acheter et vendre des données de cartes volées, qui proviennent souvent directement de violations ou de terminaux de points de vente (POS) infectés par des logiciels malveillants, ainsi que d’appareils d’écrémage connectés aux terminaux POS et aux distributeurs automatiques de billets.
Les récents arrêts des forces de l’ordre avaient entraîné une vague de fermetures de magasins de cartes. Par exemple, le plus grand marché illicite à l’époque pour les données de cartes de paiement volées, Joker’s Stash, a fermé ses portes en février 2021.
Début février de cette année, les forces de l’ordre russes ont également saisi quatre grands magasins de cartes – Trump’s Dumps, FERum, SkyFraud et Ultimate Anonymity Services (UAS).
Suivez l’argent
Une analyse de Blueliv sur l’état des magasins de cartes souterrains s’est concentrée sur Brian’s Club et Rescator en tant que magasins actuellement actifs, en les comparant à deux magasins inactifs, FERum et All World Cards. Rescator était l’un des plus grands magasins de cartes jusqu’en 2019, date à laquelle il s’est déconnecté et a rencontré une longue interruption avant de revenir de manière inattendue à la mi-2021.
« Le cas de Rescator montre à quel point ce paysage peut être très volatil et que les magasins de cartes inactifs ne disparaissent pas toujours de manière permanente », a déclaré un article de blog sur par Bluelivla division Threat Intel du fournisseur de sécurité Outpost24, note.
Blueliv conclut que le marché clandestin du cardage reste fébrile.
« L’écosystème des magasins de cartes est profondément impacté par différents acteurs, événements, moments historiques, l’adoption de politiques de sécurité et d’autres facteurs », a déclaré Blueliv. « Les forces de l’ordre ont un impact énorme sur le paysage, mais des raisons personnelles peuvent amener les criminels à se retirer de la scène des cartes. »
Les recherches de Blueliv ont été présentées au récent Botconf 2022 conférence à Nantes.
Front de l’Est
Les facteurs géopolitiques ainsi que la politique de sécurité des fournisseurs de commerce électronique peuvent avoir un impact sur la disponibilité des produits pour les magasins illicites, ce qui a également un impact sur le paysage global.
Par exemple, de plus en plus de pays adoptent des puces de sécurité au lieu de bandes magnétiques dans leurs systèmes de paiement, ce qui signifie que les vidages de données de cartes à bande magnétique ont moins d’utilité. Les vidages de données contenant des informations sur la carte et des valeurs CVV ont cependant une plus grande utilité car ils permettent la fraude en ligne.
Chris Morgan, analyste principal du renseignement sur les cybermenaces chez Digital Shadows, a déclaré La gorgée quotidienne que les sanctions contre la Russie à la suite de son invasion de l’Ukraine en février ont entravé la capacité des cybercriminels à tirer profit de leurs activités illégales.
« Le conflit en cours entre la Russie et l’Ukraine a entraîné certaines des sanctions économiques les plus importantes de l’histoire dirigées contre la Russie », a expliqué Morgan.
« Cela a également coïncidé avec la fermeture de nombreux fournisseurs en Russie ; Les utilisateurs russes qui cherchent à retirer de l’argent via certaines cartes-cadeaux – par exemple Amazon ou Paypal – peuvent trouver cela plus difficile car ces services ne sont plus disponibles dans leur pays d’origine.
Selon Morgan, les changements récents ont rendu plus difficile pour les cybercriminels débutants de commencer à gagner de l’argent.
« En raison de la sophistication croissante des contrôles et de la sensibilisation des utilisateurs, le cardage nécessite souvent un plus grand niveau de compétences », a expliqué Morgan.
«Un utilisateur devra voler les informations d’identification initiales – éventuellement en utilisant un skimmer sur les machines de point de vente (POS) – analyser les journaux des machines concernées pour obtenir des informations sur les cartes, créer des comptes sur les marchés criminels concernés et éventuellement également aider les acheteurs avec services de blanchiment d’argent.
Morgan a ajouté: «Souvent, cela nécessite plusieurs personnes travaillant en équipe, plutôt qu’une seule personne capable de mener à bien toute l’attaque par cardage par elle-même. Cela rend l’entrée dans l’espace de cardage plus difficile pour les cybercriminels amateurs qui n’ont pas ces connexions initiales dans l’espace de cardage.
