Le vol de numéro de carte crédit
C’est l’une des activités les plus rentables pour un hacker.
Le vol de numéros de cartes de crédit (Stealer credit card ou SCC)
Une fois les informations capturées, le SCC peut être utilisés de beaucoup de manières différentes.
Ici je vais essayer d’énumérer les façons de vol, les utilisations probables et comment s’en prémunir.
Cet article s’inscrit dans la lignée avec KYC non merci
L’obtention du code
Le code peut être récupéré de différentes manières.
La première, bizarrement, est IRL. Tout simplement quand vous donnez votre carte au serveur sous-payé. Ou si vous la laissé trainer sur la table trop longtemps.
Cela suffit pour récupérer le code. Voilà pourquoi le code de sécurité se trouve au dos. On voit l’un ou l’autre.
La seconde est dans l’utilisation d’un site non fiable. Soit après un mail de phishing vous demandant de payer telle ou telle facture, amende ou sextorsion.
La troisième est sur des sites legits mais non sécurisés ou infestés. En lien avec ces 443 sites infectés par divers SCC et découvert par Europol.
Les hackers utilisent certains javascript ressemblant fortement au Google Tag. Comme ATMZOW, FakeGA et autres.
Ou alors, l’enregistrement de vos données de manière non chiffrée dans des bases SQL mal gérées.
L’utilisation
Le pirate, surtout IRL, peut s’autoriser à l’utiliser lui même.
Suivant le QI de ce dernier, il peut l’utiliser avec sa vraie identité et commander sur Amazon à son adresse personnelle.
Sinon, il va acheter quelques choses en Chine, en Russie ou tout pays connus pour ne pas coopérer avec les autorités compétentes (en 2 mots ?).
L’autre manière serait d’acheter des biens ou des services dématérialisés, tel du Bitcoin, sur des sites qui ne vérifient pas l’identité.
Ou encore, de revendre les numéros contre des cryptomonnaies.
Laissant à l’acheteur, le soin d’utiliser anonymement les informations bancaires obtenues.
Les sites « No VBV »
Dans le contexte de l’utilisation, les sites no VBV sont les sites n’effectuant pas de vérification bancaire avec OTP.
Plusieurs listes de sites, mis à jour régulièrement peuvent être trouvées sur des sites/forums de « carding ».
Le carding est l’utilisation frauduleuse de cartes bancaires volées. Dans ces forums se partagent les techniques d’utilisation et d’anonymat.
Je ne partagerai rien d’autre sur cet élément, mais ceci vous permet de constater que cet un vrai buziness à part entière.
La sécurité
Souvent et heureusement, l’utilisation de la carte bancaire en ligne va de concert avec le MFA/OTP, soit la confirmation par un autre moyen de communication de l’utilisation.
Souvent, un code envoyé par SMS.
Or, de nombreux magasins ne demandent pas le code 3DS lorsque les transactions sont inférieures à une certaine limite, ce qui permet aux fraudeurs de faire plusieurs petits achats. Bizarrement, j’ai pu faire mes achats de billet sur la SNCF sans 3d secure ou OTP.
Certains sites ou forums spécialisés listes ses sites internet de commerçants peu regardant sur la sécurité.
Et un site mal conçu peut permettre à l’attaquant de bypass le code OTP. Faisant croire à la machine que le code a été correctement envoyé.
Conclusion
Ce type de vol a été l’un des premiers business des hackers.
Ceci reste le cas et l’actualité nous le prouve. Acceptons le, nous aurons toujours un coup de retard ou d’avance, suivant qui vous êtes.
L’usage du VPN reste la norme et l’utilisation de carte bancaire One Shoot hautement recommandés.