Des sites de vente de données bancaires propagateurs de virus

Des sites de vente de données bancaires propagateurs de virus

Les sites frauduleux de vente de données bancaires en ligne se multiplient sur la Toile et attirent un nombre toujours plus important de cybercriminels.

Lorsque l’inscription y est gratuite ou ne coûte que quelques dollars, les intéressés s’empressent de créer un compte personnel, sans aucune méfiance. En effet, chacun sait déjà qu’il n’y a lieu de suspecter que les sites au prix d’entrée relativement élevé (d’une trentaine à une centaine de dollars), certains de leurs administrateurs ayant pour coutume d’encaisser l’argent de l’inscription puis de disparaître. Mais peu de personnes savent qu’il faut aussi se méfier de ce type de site au prix d’entrée relativement faible.

La confiance en ces sites au prix d’adhésion « discount » devrait donc rapidement s’évanouir elle aussi. En effet, le mode opératoire mis en place par les pirates informatiques y est encore plus pernicieux, car au lieu d’escroquer leurs « collègues » cybercriminels d’une centaine de dollars, ils envoient désormais un virus informatique à tout imprudent qui se connectera sur leur site. Depuis quelques mois, un hacker est particulièrement actif et ne cesse de multiplier les attaques.

Mise en place de l’appât

Pour attirer le maximum de victimes, le pirate qui agit sous le nom de « Hiddenidentity » poste une annonce dans un forum privé invitant les visiteurs à s’enregistrer sur son nouveau site qui propose des numéros de carte à des prix très attractifs.

Exemple ci-dessous de la publicité effectuée par « Hiddenidentity » sur un forum illicite en juin 2011 :

Mon site web : http://173.X.X.X.
Nous vendons des numéros de cartes bancaires des États-Unis et d’autres pays.
Nous vendons des dumps [1]. Bons prix. Plus de 2300 utilisateurs.

Tous les membres du forum qui se sont connectés sur cette page web ont été infectés en quelques secondes. L’administrateur du forum n’a pas tardé à bannir l’escroc et a dévoilé le code source du virus employé par ce dernier.

L’un des intérêts majeurs de ces virus est de récupérer les mots de passe Liberty Reserve des utilisateurs, afin de piller les comptes des pirates. En effet, cette monnaie virtuelle est le moyen d’échange de ce milieu criminel et certains disposent d’importantes sommes d’argent dans cette unité électronique. La consultation d’un compte Liberty Reserve sur Internet étant presque plus sécurisée que celle d’un compte bancaire (trois mots de passe successifs pour effectuer un virement), les pirates ont ainsi dû ruser pour dérober l’argent des cybercriminels.

L’un des derniers sites de vente de numéros de carte fictifs mis en ligne par « Hiddenidentity » permet de comprendre le mécanisme employé :

Mode opératoire…

Tous les clients potentiels du site s’enregistrent sur le site sans difficulté, mais n’arrivent pas, par la suite, à accéder au contenu du site. L’administrateur leur conseille alors de télécharger un plug-in manquant, disponible sur la page d’accueil qui va infecter automatiquement l’ordinateur de la victime.

Ensuite, avant d’accéder aux précieux numéros de carte, une interface s’affiche et enjoint de payer 3 Liberty Reserve, l’équivalent de trois dollars. Lorsque la victime rentre ses codes personnels afin d’effectuer un virement de son compte vers celui du propriétaire du site, elle ne se doute pas que chacune de ses actions est enregistrée par le pirate. En quelques secondes, ce dernier va vider le compte de l’imprudent qui n’aura de toute manière aucune possibilité de recours, les paiements effectués avec Liberty Reserve étant irréversibles.

Le hacker n’hésite pas à partager ses secrets et recherche des collaborateurs. Comme il l’explique très bien, l’essentiel est de trouver les « bonnes victimes », car outre de la monnaie virtuelle, le contenu des ordinateurs des cybercriminels peut recéler bien d’autres trésors.

Notes

[1] Un « dump » concerne la vente des données contenues dans la piste magnétique des cartes bancaires.

CERT-XMCO

Découvrir d'autres articles