Vous avez sûrement déjà entendu parler de cet étrange phénomène : les accidents d’avion attirent davantage l’attention des médias que les accidents de voiture alors que le nombre d’incidents annuels en avion est bien moindre. Ce même principe s’applique à d’autres aspects de la vie, y compris la cybersécurité et la cybercriminalité.
Lorsque nous avons découvert Carbanak en 2014, un groupe de cybercriminels qui a volé plus d’un milliard de dollars, les médias étaient subjugués. Nous ne devrions pourtant pas oublier que la fraude à la carte bancaire est plus courante, fait des victimes tous les jours, et engendre des pertes financières beaucoup plus importantes. Par exemple, le Nilson Report estime qu’en 2018 la fraude à la carte bancaire a provoqué des pertes qui s’élèvent à 24 milliards, et qu’elle devrait fortement augmenter cette année. Le carding, nom technique utilisé par les cybercriminels et les spécialistes en sécurité pour désigner la fraude à la carte bancaire, n’est pas mort. Au contraire, il est en pleine croissance.
Cela peut sembler surprenant puisque de plus en plus de banques mettent en place des systèmes de sécurité stricts, et des solutions intelligentes de prévention de la fraude qui reposent sur l’apprentissage automatique. Si ce n’est pas le cas, elles protègent les fonds des cartes pour qu’ils soient impossibles de les voler. Ces mesures devraient, en théorie, au moins empêcher les escrocs débutants de voler l’argent des cartes bancaires, mais les statistiques montrent le contraire. Si quelqu’un demande sur un forum du darknet « Quelle est la première chose à faire pour devenir un cybercriminel ? », la réponse est « carding« .
Heureusement, les banques et plateformes de paiement ont pris certaines mesures de sécurité qui rendent la fraude à la carte bancaire de plus en plus difficile. Hélas les systèmes antifraudes ne fonctionnent pas aussi bien dans la réalité. De plus, les personnes qui veulent essayer de voler l’argent des cartes de crédit d’autres personnes disposent de services spéciaux, d’outils, et de marketplaces de ces outils et services.
Empreinte numérique : utiliser l’identité d’une autre personne pour utiliser sa carte
Sergey Lozhkin, chercheur de Kaspersky Lab, a trouvé un marché sur le darknet, appelé Genesis, qui vend les masques numériques des utilisateurs. Il a présenté ses découvertes lors du Security Analyst Summit 2019. Un masque numérique se compose de l’empreinte numérique de l’utilisateur (historique du navigateur, système d’exploitation, informations sur le navigateur, plug-ins installés, etc.), et des informations relatives au comportement de l’utilisateur : ce qu’il fait en ligne et comment.
Pourquoi les escrocs vendraient-ils les masques ? Quel est le lien avec le « carding » ? Les systèmes antifraudes se servent des masques numériques pour vérifier l’identité de l’utilisateur. Si le système antifraude reçoit un masque numérique qui correspond à celui qu’il a obtenu auparavant pour le même utilisateur, alors il va considérer que la transaction est légitime. De nombreuses banques considèrent que cette mesure est suffisante, et ne vont pas demander le code 3D Secure envoyé par SMS, ou la notification qui permet à l’utilisateur de confirmer la transaction.
Par conséquent, si un criminel arrive, de quelque façon que ce soit, à voler votre masque numérique et vos identifiants de services bancaires en ligne, le système antifraude va penser que vous essayez de vous connecter et ne vas pas donner l’alerte. Le criminel peut alors vider votre compte bancaire en toute discrétion.
C’est pourquoi certains malfaiteurs obtiennent les données des appareils des utilisateurs et les mettent en vente sur Genesis. D’autres achètent ces informations, qui coûtent entre 5 et 200 dollars selon la quantité de données et d’identifiants inclus, et les utilisent pour se faire passer pour le propriétaire du masque numérique.
Pour ce faire, ils utilisent un plug-in de navigateur gratuit. Développé par les créateurs de Genesis, et connu comme Genesis Security, ce plug-in leur permet d’utiliser le masque numérique pour recréer l’identité virtuelle et légitime de l’utilisateur, et ainsi tromper les systèmes antifraudes. Pour faire simple, ce plug-in modifie les paramètres que le système antifraude prend en compte pour qu’ils correspondent à ceux de l’appareil de la victime et imitent leur comportement.
Obtenir les empreintes
Comment les cybercriminels qui se cachent derrière Genesis obtiennent les données qu’ils vendent ? La réponse est simple mais assez vague : grâce à diverses espèces de malware.
Certains malwares n’essaient pas de chiffrer vos données pour demander une rançon, ou de voler votre argent de suite après avoir accédé à votre appareil. Quelques espèces s’installent tranquillement, collectent toutes les données auxquelles elles ont accès, et créent des masques numériques qui sont ensuite vendus sur Genesis.
Autres méthodes utilisées pour contourner la prévention de la fraude
Pour court-circuiter les systèmes de prévention de la fraude, la technique utilisée doit avant tout être familière, ou paraître totalement nouvelle. Les cybercriminels connaissent toutes les options qui s’offrent à eux, même cette seconde possibilité, et il existe même un service sur Internet qui réalise cette action.
Lorsque nous disons totalement nouvelle cela signifie qu’il n’y a aucune correspondance entre le masque numérique utilisé et tous les autres masques numériques que le service connaît. En d’autres termes, le fraudeur ne peut pas se connecter au service équipé d’un système de prévention de la fraude, même s’il installe un nouveau navigateur sur son ordinateur puisque certains paramètres seront les mêmes que ceux utilisés par le masque numérique précédemment utilisé : matériel informatique, résolution de l’écran, et bien d’autres.
Un service, qui s’appelle Sphere, permet aux escrocs de créer une nouvelle identité numérique et de personnaliser tous ces paramètres pour que le système de prévention de la fraude la considère comme totalement nouvelle. Rien ne l’empêche de faire confiance à cette nouvelle personne.
Dites non à votre double
Le problème est que, quelle que soit la sophistication du système de prévention de la fraude, ces techniques fonctionnent puisque les algorithmes du système de prévention de la fraude, qui détermine si la personne peut accéder aux fonds, utilisent exactement les mêmes données que celles recueillies par les malfaiteurs.
Est-il possible de se protéger de cette fraude à la carte bancaire perfectionnée ?
Pour les banques, la protection consiste à introduire une utilisation obligatoire de l’authentification à deux facteurs, y compris en utilisant certaines technologies de biométrie comme second facteur : lecture d’empreintes digitales (les vraies empreintes, pas les numériques), et reconnaissance faciale ou de l’iris. Les banques doivent aussi avoir connaissance des différents genres de fraude qui émergent, sinon elles ne peuvent pas prendre les mesures nécessaires pour les combattre.
Quant à l’utilisateur, la seule façon de se protéger de ce type de fraude à la carte bancaire est de s’assurer que personne ne puisse mettre la main sur son masque numérique. Pour ce faire, il doit installer une solution de sécurité robuste qui va éliminer tous les malwares qui essaient de falsifier ses données.