Au cours des deux dernières semaines, toutes les principales agences de presse ont rapporté que les millions de cartes de crédit volées dans les magasins Wawa aux États-Unis en 2019 ont été mises en vente sur le dark web. Bien que précis à bien des égards, les reportages gagneraient quelques corrections.
Les cartes volées de Wawa sont probablement sur le marché depuis des mois, pas des jours
Des acteurs malveillants se trouvaient dans le système de paiement de Wawa entre le 4 marsth 2019 et December 12th 2019.
Cela n'aurait aucun sens pour eux de conserver les informations financières volées pendant les 283 jours pendant lesquels leur piratage a été actif. De nombreuses cartes qu'ils ont collectées au cours de cette période expiré et est devenu vain à moins d'être vendu tout de suite.
De plus, proposer à la vente toutes les cartes volées d'un même système de paiement en même temps augmente les chances de la fraude étant détecté et que les cartes sont annulées. Il est beaucoup plus logique de vendre les cartes en plusieurs petits lots, mélangées à d'autres cartes volées à différents endroits. Identifier l'origine des cartes volées et détecter la fraude devient beaucoup plus difficile pour une banque lorsqu'elle utilise cette stratégie.
Les sites de cartes n'attendent pas l'actualité d'un hack pour vendre leurs cartes
Il existe d'innombrables plateformes faisant la publicité de la vente de cartes de crédit volées et toutes se font concurrence pour la même entreprise. Faire des réclamations au sujet de la libération d'un grand vidage de carte de crédit est plus une question de générer de la publicité et du buzz autour d'une plate-forme qu'une véritable nouvelle menace pour les victimes du piratage.
Les reportages de Actualités CBS, Washington post, Bloomberg et KrebsOnSecurity mentionner le nom du Joker's Stash et faire de ce nom une référence dans la communauté des revendeurs d'informations financières volées.
Joker's Stash mise simplement sur la notoriété des violations de données importantes et publiques pour accroître sa réputation. Le reportage n'a rien à voir avec la vente réelle des cartes volées.
Les cartes de Wawa ne sont PAS uniquement vendues sur le dark web
Joker's Stash, le site faisant la publicité des cartes de crédit volées, est en effet disponible sur le dark web, le canal de communication anonyme généralement utilisé par les acteurs malveillants pour acheter et vendre des informations financières volées. C'est pourtant aussi disponible sur Internet, comme indiqué dans la capture d'écran ci-dessous.
C'est un fait peu connu que de nombreux sites hébergés sur le dark web sont également disponibles sur Internet. Les acteurs malveillants veulent attirer le plus grand nombre d'acheteurs pour leurs informations financières volées et se limiter aux acheteurs du dark web n'a aucun sens lorsque de grandes quantités d'informations financières volées sont mises en vente.
Les cartes de crédit n'étaient pas vendues pour seulement 17 $ chacune
Le prix d'une carte de crédit volée vendue en ligne semble souvent n'avoir aucun sens. Pourquoi quelqu'un vendrait-il des informations de carte de crédit pour 17 USD alors qu'elles pourraient être utilisées pour acheter des milliers de dollars de produits en ligne? Dans leur article fondateur intitulé Personne ne vend de l'or au prix de l'argent, Herley et Florencio soutiennent qu'il existe une économie souterraine à deux vitesses où des acteurs malveillants non organisés et isolés sont manipulés par gangs organisés, qui seuls tirent profit du trafic de cartes de crédit volées.
Dans le cas de Wawa, le prix de 17 USD suggère que les cartes de crédit ont été vendues une première fois au cours de l'année 2019 par petits lots, par des bandes organisées à un cercle restreint d'acteurs malveillants. Lorsque la nouvelle du piratage de Wawa a éclaté le 19 décembre 2019, la vente de cartes de crédit Wawa a probablement ralenti ou arrêté, pour être repris sur Joker's Stash le mois suivant à un prix réduit compte tenu de leur nature désormais entachée.
Bien que le montant de 17 USD ne soit pas aussi bas que les estimations des études précédentes, il se situe dans le bas de gamme des cartes de crédit volées annoncées en ligne et suggère que la valeur de ces cartes ne réside pas dans la fraude qu'elles permettent, mais dans le la publicité qu'ils apportent à la cachette de Joker.
Vous voulez vous assurer que votre entreprise n'est pas ciblée par des acteurs malveillants ? Contactez notre équipe pour une démonstration de notre produit Firework qui surveille les violations de données en temps réel et réduit le temps de détection des violations de données de plus de 3 mois à quelques heures ou jours.
