Essai gratuit
Obtenez l'accès complet
Connexion

Conséquences du retrait d'un pivot majeur du cardage

Picture of Research Team
Équipe de recherche
  • Reading time: 5 min
Conséquences du retrait d'un pivot majeur du cardage

Nous avons expliqué dans un précédent article où vont les données volées. La semaine dernière, Brian Krebs a rapporté que les Russes avaient fermer un énorme réseau de fraude par carte. Le FSB (police fédérale russe) a arrêté 25 personnes liées à 90 marchés illicites en ligne. Ces sites se sont spécialisés dans la vente d'informations financières volées. Cela nous fournit une étude de cas pour mieux comprendre l'impact des opérations policières sur la clandestinité criminelle. Nous trouvons des preuves que le retrait a eu un impact sur une organisation criminelle, mais que certaines parties du le groupe a survécu au coup et sont toujours actifs.

Sites Web en panne

Krebs explique que les acteurs arrêtés vendaient des informations volées à des revendeurs. Les revendeurs exploitaient à leur tour plusieurs plates-formes en ligne - connues sous le nom de magasins automobiles - indépendamment. La figure ci-dessous présente l'apparence de la plupart des autoshops.

Les Autoshops sont des sites Web automatisés où les clients recherchent des cartes de crédit à acheter par leur banque émettrice, leur pays ou leur prix. Les achats sont automatisés avec un système de panier et les paiements sont effectués en crypto-monnaies. Les informations de carte de crédit peuvent être envoyées par e-mail ou présentées directement sur l'autoshop.

À peu près au même moment que les arrestations, nous avons vu un certain nombre de grands ateliers automobiles se déconnecter. Nous croyons que ces autoshops sont liés à l'opération policière. La police a perturbé leurs activités en arrêtant leurs fournisseurs et même peut-être les acteurs qui les dirigent. Cela suggère une restructuration de la clandestinité criminelle et une diminution du nombre de fraudes, mais seulement pour une Courte période de temps. En effet, de nombreux les petits acteurs chercheront à combler le vide laissés par les acteurs arrêtés et les futurs articles de blog suivront leurs trajectoires.

Un web connecté

En plus de nous avertir d'une interruption des activités de l'autoshop, le billet de blog de Kreb, Krebs, nous rappelle qu'un seul groupe criminel peut avoir un impact significatif sur la clandestinité criminelle. Nous avions des soupçons que bon nombre des grands ateliers automobiles étaient dirigés par les mêmes acteurs. Les 3 principales raisons à cela étaient :

  1. Les autoshops ont tous utilisé le même base de données principale. Nous avons collecté des données sur les autoshops en nous connectant directement à leurs bases de données à l'aide de méthodes d'accès inédites. Étant donné que la même méthode fonctionnait sur plusieurs autoshops, ils utilisaient tous la même architecture logicielle. Les différentes interfaces graphiques des autoshops visaient à faire croire aux visiteurs qu'ils accédaient à un autre autoshop.
  2. Les autoshops utilisaient le même Identifiant Google Analytics (GAI). Google Analytics est un outil gratuit pour surveiller le trafic du site Web. Les utilisateurs ajoutent le GAI au code source de leur site Web et cette information est souvent utilisée pour connecter des sites Web à des acteurs. Il n'y a tout simplement aucune raison pour que quiconque insère le GAI de quelqu'un d'autre sur un site Web.
  3. Les autoshops vendu plusieurs des mêmes cartes. Nous avons analysé toutes les cartes en vente sur les autoshops récemment fermés au cours des derniers mois. Comme le montre la figure ci-dessous 41% de ces cartes étaient en vente sur 5 autoshops différents, 28% étaient en vente sur 4 autoshops différents et seulement 11% étaient annoncés sur 1 autoshop. Cela signifie que 89% des cartes étaient en vente sur plus d'un autoshop.
Nombre d'autoshops où chaque carte de crédit volée est proposée à la vente

Pris ensemble, ces résultats suggèrent fortement que un seul groupe exploitait plusieurs autoshops et se cachait derrière plusieurs fausses identités. La question est maintenant de savoir si tous les membres du groupe ont été arrêtés dans l'affaire de la police ?

Un groupe toujours actif ?

Prtship [dot] com est un forum criminel clandestin actif depuis 2017. Il est hébergé par Nforce Entertainment Bv, un infâme hébergeur. Prtship [point] com facilite la vente d'informations personnelles et financières volées - en d'autres termes, de cartes de crédit volées. Notre système de surveillance a connecté les autoshops qui ont fermé récemment avec ce forum, à la fois utilisé le même identifiant Google Analytics. Cela suggère une fois de plus fortement que le groupe décrit ci-dessus héberge également Prtship [dot] com.

La page d'accueil de Prtship [dot] com

Étonnamment, le Prtship [dot] com est encore en ligne au moment de la rédaction. Cela suggère que certains des membres du groupe ont échappé à l'arrestation. Une hypothèse concurrente est que les forces de l'ordre ont repris la gestion du forum et dirige maintenant le forum et se fait passer pour ses administrateurs.

Pour savoir si tel est le cas, nous avons analysé le comportement de la direction de Prtship [point] com. Le forum est animé par 1 administrateur et 2 modérateurs. Si les forces de l'ordre prenaient effectivement le contrôle du forum, nous nous attendrions à avoir une période sans messages de la part de la direction du forum (période de transition) puis une période de forte activité (période de collecte de renseignements) où les forces de l'ordre sollicitent des membres pour leur soutirer des informations.

Activité quotidienne de la direction de Prtship [dot] com

La figure ci-dessus montre le nombre de messages pour chaque jour au cours des 3 dernières semaines de la direction du forum. Cela fait ne donne aucune indication que le forum a été saisi par les forces de l'ordre à ce stade.

L'administrateur du forum et un modérateur montrent peu ou pas d'activité au cours des dernières semaines. Ils n'ont cependant pas eu beaucoup d'activité depuis le début de l'année donc ce le comportement est attendu. Un modérateur a une activité en baisse au cours des deux dernières semaines. Cependant, il n'y a pas d'absence de leadership du forum. C'est alors possible que des membres du groupe aient échappé à l'arrestation et est toujours actif dans la clandestinité criminelle.

Si vous surveillez vous-même les autoshops, vous devrez mettre à jour votre liste de cibles dans les prochains jours alors que l'activité de cardage se déplace vers de nouvelles plateformes. Tu devrais aussi chercher des indices sur la propriété des autoshops vous surveillez. Vous êtes susceptible de trouver des informations en double sur différentes plates-formes et les identifiants Google Analytics sont un moyen de réduire le bruit. Cela vous permet de se concentrer sur des plateformes gérées par différentes organisations criminelles.

Si vous souhaitez automatiser votre protection et vous assurer d'avoir la meilleure qualité de surveillance de la clandestinité criminelle, contactez-nous pour demander une démo de notre plateforme Firework. Notre système vous avertira lorsque la clandestinité criminelle ralentira et vous informera des derniers autoshops utilisés par les cardeurs.

Partager cet article
Afficher les messages

Équipe de recherche

Flare’s research team conducts investigations and experiments in order to gather data, create new knowledge, and develop new ideas. This helps our team stay ahead of emerging threats and also add insight to our product roadmap.

Contenu similaire

, ,

AlphaLock, Threat Actor Branding, and the World of Cybercrime Marketing

En savoir plus

Ransomware in Context: 2024, A Year of Tumultuous Change

En savoir plus

Flare acquiert Foretrace pour accélérer la croissance de la gestion de l'exposition aux menaces

En savoir plus

« Ce qui prenait environ 1500 heures peut désormais être réalisé en une semaine. Flare me permet d'habiliter des analystes débutants à mener des enquêtes sur le Web clandestin qui étaient auparavant impossibles, libérant ainsi de la bande passante. »

Spécialiste principal en cybersécurité chez un prestataire de services en gestion des cybermenaces (MSSP)

« D'autres solutions nous auraient présenté des milliers de fuites potentielles avec lesquelles il était impossible de travailler pour notre petite équipe. Flare était le seul à pouvoir filtrer et prioriser avec succès les fuites de données avec leur système de notation à 5 points. »

Directeur du renseignement sur les cybermenaces (CTI) dans une grande banque nord-américaine

« Flare nous permet de réagir rapidement lorsque des cybermenaces sont rendues publiques, ce qui nous aide à protéger notre marque et nos ressources financières contre les brèches de données. »

Responsable de la sécurité des systèmes d'information (RSSI) dans une grande banque nord-américaine

« Nous avons audité des dizaines de solutions différentes et Flare était le seul à rendre le renseignement sur les cybermenaces facile et compréhensible pour tous, avec les bonnes données. »

Conseiller cadre dans une entreprise de technologies de l'information

Commencez votre essai gratuit dès aujourd'hui

Faites l'expérience de Flare par vous-même et découvrez pourquoi Flare est utilisé par des organisations telles que des agences de sécurité publique, des sociétés du Fortune's 50, des institutions financières et des jeunes entreprises.

COMMENCEZ L'ESSAI GRATUIT
Flare logo
Démo
Essai gratuit
LinkedIn Twitter Facebook Youtube
Droits d'auteur 2024 Flare Systems, Inc.
1751 Rue Richardson, Unité 3.108, Montréal, Québec, H3K 1G6

Siège social de Flare

société de cybersécurité soc 2
Flare logo
Essai gratuit
Obtenez l'accès complet
Connexion