Reportage – Etude au cœur du carding et du Deepweb

7
356

Une étude-reportage par Lycroft Eugenia. Comme vous le savez il existe un véritable business d’escroquerie et de fraudes sur le net. Voici un article complet pouvant être qualifié d’étude-reportage sur le carding.

Qu’est ce que le carding ?

Il s’agit des fraudes à la carte bancaire sur le net (achat, vols,blanchissement de fonds…). Nous nous intéresserons au carding général  ainsi qu’à ses dérivés (trafic de faux-papiers, blackmarket, etc…).

Le “deepweb”, représentant 70% de l’internet n’est pas référencé par les moteurs de recherche tels que Google ou Yahoo!.

Véritable nid de tous les excès, il s’agit d’un endroit favorable et apprécié pour les groupuscules de carders.

Quelques recherches et de “bons contacts” suffisent pour vite trouver quelques adresses et aboutir à de telles annonces :

Et non, vous ne rêvez pas, les cartes bancaires sont tellement abondantes qu’elles ne coûtent que 10$ soit environ 8 euros pour des modèles européens !

Ce n’est pas tout, nous avions ici affaire à de petits vendeurs isolés, sachez que certains se réunissent et mettent en place un véritable système de vente sécurisé. Rappelez-vous les deux grandes places de marchés dédiées à la vente de CVV de part le monde qui ont été démantelées cette année…

Ici un groupe de carder distribue gratuitement un stock de numéros de cartes bancaires valides afin de se faire promouvoir :

Certains n’hésitent pas non plus à recruter publiquement :

Les comptes PayPals, Liberty Reserve et Moneybookers (la plupart étant volés via des malwares) se vendent dans chaque BlackMarket et certains sites en sont mêmes spécialisés :

Une question se pose alors :

Comment ces carders obtiennent-ils ces numéros de cartes bancaires et ces comptes ?

A cette question il y a plusieurs réponses.

Le phishing est responsable d’une partie non négligeable des données en circulation. Pour rappel, il s’agit de mails ou de faux sites se faisant passer pour votre banque (ou tout autre organisme officiel) voir même, plus récemment via des appels téléphoniques.

Ceux-ci vous demandent de saisir vos identifiants  et/ou vos coordonnées bancaires et c’est alors qu’ils les obtiennent.

Ensuite arrive le piratage de sites Web. Si vous avez fait des achats en ligne, le site web conserve certaines de vos données bancaires en cas de litige pendant un temps défini. Dès l’instant ou le site web est piraté et que sa base de données à été corrompue et dérobée par un pirate informatique après une intrusion sur le serveur,  les données personnelles et bancaires pourront alors être remises à des carders.

Exemple de “dump” :

Plus actifs et plus efficace encore, voici les malwares. Les botnets comme SpyEyes ou Zeus sont équipés pour dérober les comptes bancaires et les numéros de cartes de crédit. Ils embarquent des “grabbers” qui sont capables d’intercepter et d’enregistrer les données des formulaires par exemple.

D’autres virus sont spécialisés dans le vol d’identifiants, ils sont appelés Stealers ou Password Stealers. C’est le moyen le plus rapide de récupérer des données privées sur des ordinateurs. Certains sont relativement accessible du fait qu’ils se vendent à bas prix par rapport aux botnets.

Interview 

Afin d’en savoir plus sur les carders, nous avons décidé de réaliser une interview avec un carder français :

Lycroft: Bonjour

CarderX: Salut à toi, cher interviewer

Lycroft: nos lecteurs aimeraient en savoir plus sur le carding

Lycroft: auriez vous une courte définition à leur proposer?

CarderX: La définition la plus courte et complète que je puisse donner et celle qu’on utilise le plus régulièrement.

Le carder est une personne qui va commander sur des sites e-commerce, tel que C-discount, pour ne citer que lui. C’est celui qui va commander l’objet en question et faire de son mieux pour que la transaction soit acceptée et que l’objet convoité quitte les entrepôts.

Le carding en général regroupe donc, les usurpateurs de coordonnées bancaires (ceux qui, donc vont nous vendre les numéros de carte de crédits) Le carder ( que je viens de citer plus haut) et le dropper, c’est la personne qui va réceptionner le colis d’un quelconque moyen afin de le renvoyer au carder en échange d’argent, ou qui va le revendre afin d’envoyer un pourcentage au carder souvent du 50/50 Il arrive aussi, mais rarement, que le carder drop lui même son colis.

J’espère que la réponse est assez complète, n’hésitez pas à me demander des précisions.

Lycroft: C’est en effet très complet, je vous remercie

Lycroft: vous avez parler de dropper

Lycroft: vous pourriez expliquer le dropping-shipping à nos lecteurs?

CarderX: Le drop-shipping ( et là on parle bien de carding, le drop-shipping à de multiples définitions suivant comment il est utilisé et par qui il est proposé )

Le drop-shipping donc est souvent proposé par de gros carders qui ont un stock de produits récupérés plutôt conséquent, on parle là de 50 iPad, 30 Macbook, 80 iPhone par exemple.

Le drop-shipper ( celui qui propose le produit) recherche donc des personnes pour vendre ses produits sur des sites de vente ( eBbay, Priceminister etc. )

Le revendeur  (celui qui a accepté le contrat) va donc mettre des annonces, sur son compte personnel pour vendre les objets du carder/drop-shipper, une fois la vente finalisée  (objet acheté, payé) le revendeur va donner la part due au dropshipper et celui-ci une fois l’argent reçu va expédier le colis à l’adresse de l’acheteur.

Le revendeur, dans tous ça, conserve tout l’argent qui est au delà du montant demandé par le carder

Imaginons que le carder en demande 250 € et que la vente s’est finalisée à 564, le revendeur empoche 314 €

Lycroft: Merci pour ces explications

CarderX: je vous en prie ;) je suis là pour ça..

Lycroft: concernant le carding

Lycroft: quelles précautions utilisez-vous pour éviter le tracing?

CarderX: Alors, tout dépend de la mobilité du carder, vous avez des carders qui vont utiliser un netbook, acheté en cash dans une boutique de reventes d’objets d’occasion, comme Cash Converter afin de ne pas être lié à l’ordinateur d’une quelconque façon qu’il soit. Et ils utilisent les hotspot, Mac Donald, hotels, hotspot dans la rue tel que SFR et Freewifi (ils achètent les identifiants qui ont été usurpés à des victimes de stealer).

puis se cachent derrière un vpn et un socks, selon la localité originale de la carte de crédit qu’ils utilisent.

D’autres, vont utiliser leur propre PC et la connexion d’un voisin, changer leur adresse MAC, changer les DNS pour ceux de google se mettre sous VPN, se relier à un RDP, puis un autre VPN et utiliser le socks correspondant à la localité de la carte.

CarderX: personnellement j’utilise cette deuxième option.

Lycroft: En France, d’après vos connaissances pensez-vous le carding très organisé? (nombreux réseaux)

Lycroft: Pensez-vous que la police est efficace et empêche votre « travail »?

CarderX: D’après mes connaissances, le carding n’est pas assez évolué à mon gout, d’ailleurs, même les communautés virtuelles  (forums, en l’occurrance) sont très peu développées et ce n’est pas vraiment un gros problème, au contraire.

Mais il est certains que nous sommes de petits joueurs comparé à nons amis US.

La police ?

Mouarf, la police ne s’occupe pas de ça, vraiment ! C’est à peine si ils prennent les dépôts de plaintes..

Une émission est passé sur France 2 il y a de ça un an et demi..

Les flics avouaient eux-même préférer coincer des dealer dans les cages d’immeuble, c’est direct, c’est du flagrant déli, ça ne coute rien, et ça augmente les statistiques, et là se crée le fameux (faux) sentiment de sécurité..

La france n’a ni les moyens financier ni les moyens intellectuels pour le faire.. Vous avez déjà entendu parler d’une brigade contre le cyber-crime ? A part la BEFTI qui ne fait qu’arrêter des uploaders sur boards warez ? Non. Et encore, les uploaders qui se protègent derrière un simple VPN ne se font pas avoir..

En vérité, en France, il faut vraiment avoir fait de grosses grosses conneries.. La seule façon qu’ils ont trouvé pour qu’un carder se fasse attraper, c’est de faire partir un flic déguisé en livreur de la poste ( comme le fait la douane avec les gros colis de contrefaçons.. )

CarderX: Mais c’est aussi pour ça qu’il y a les droppers..

Lycroft: Vous conaissez la fraude des faux-papiers

Lycroft: vous y avez déjà eut un quelconque rapport

Lycroft: si oui est-ce possible d’avoir votre expérience

CarderX: La fraude réelle, non, aucunement, pour le moment.

La fraude virtuelle, de faux scans, rien de bien compliqué, des graphistes en herbe, sur certains forums vous vendent :

Faux justifs de domiciliation, faux scans d’identité, faux scans de carte de crédit et tous ça avec toutes les valeurs que vous souhaitez.. Pour environ 15à25 €, selon la board, selon le contact, la qualité du produit etc.

Ces faux « papiers » servent à passer les controles de vérifications imposés par fia-net, entre autres.

CarderX: c’est tout ce que je peux dire à ce sujet. Je ne suis pas très renseigné sur ces pratiques de faussaires.

Lycroft: que pouvez-vous nous dire sur le skimming?

CarderX: Le skimming, je n’y trempe pas du tout.

Ce sont des dispositifs qui copient la bande magnétique de la carte bancaire… et une camera enregistre le code de la carte, ensuite les personnes s’en servant envoient les données à des contacts en thailand etc.. Afin de cashout le tout et se font renvoyé l’argent par Wester union, ou d’autres moyens que je n’ai à ma connaissance.

CarderX: thailand, aux pays du maghreb, ça dépend. Mais je ne suis pas calé du tout là dedans ) »

L’intégrale de l’interview est téléchargeable: ici

Afin de compléter son témoignage voici un tutoriel trouvé dans un forum underground résumant les méthodes employés par les carders :

 

Le shiping-droping

A titre d’explications sur le shipping-droping voici l’explication donner par notre « carderX » :

« Le drop-shipping ( et là on parle bien de carding, le drop-shipping ayant de multiples définitions suivant comment il est utilisé et par qui il est proposé). Le drop-shipping donc est souvent proposé par de gros carders qui ont un stock de produits récupérés par le biais de cartes bancaires volées plutôt conséquent, on parle là de 50 iPads, 30 Macbooks, 80 iPhones par exemple.

Le drop-shipper (celui qui propose le produit) recherche donc des personnes pour vendre ses produits sur des sites de vente légaux (Ebay, Priceminister, le Bon Coin, etc).

Le revendeur (celui qui a accepté le contrat de revente) va donc mettre des annonces, sur son compte personnel pour vendre les objets du carder/drop-shipper, et une fois la vente finalisée (l’objet acheté et payé), le revendeur va donner la part due au drop-shipper et celui-ci une fois l’argent reçu va expédier le colis à l’adresse de l’acheteur.

Le revendeur, dans tout ça, conserve tout l’argent qui est au-delà du montant demandé par le carder. Imaginons que le carder en demande 250 € et que la vente s’est finalisée à 564 €, le revendeur empoche donc les 314 € restant. »

Exemple d’annonces concernant le drop-shipping :

Le cashout

Lorsqu’un carder a dérobé des identifiants de cartes bancaires, il lui faut blanchir l’argent. Ces procédés de blanchissements sont appelés cashout. Voici des exemple d’annonces sur des techniques de cashout :

La fraude aux faux-papiers

Des carders se spécialisent aussi dans la falsification de documents, sur une offre un carder nous propose d’accéder à son « catalogue », sécurisé par mot de passe et en suivant ses recommandations :

[youtube _Km7-QYBE5U nolink]

Vous remarquerez la présence des hologrammes ainsi que la qualité faisant qu’il est très difficile de pouvoir affirmer qu’il s’agit d’un faux. Même les pays de l’est, comme la Pologne,  sont touchés.

Après avoir contacté un de ses carders pour en savoir plus sur ce business, celui-ci a montré ses templates éditables. Il s’agit de fichiers .psd, Photoshops éditables. Ainsi les carders peuvent y insérer des noms, photos et même signature.

Il y a aussi de nombreuses templates pour carte bancaires et surtout des papiers d’identité, des permis pour tout les états des États-Unis, quelques pays d’Europe de l’est et les plus grands pays Europe de l’ouest.

Les carders se renseignent aussi sur les méthodes employées par les polices afin de débusquer ces faux-papiers comme le prouve ce fichier pdf crée par la police expliquant comment reconnaitre de faux papiers à télécharger ici.

Ainsi les carders peuvent bypass (dépasser, passer outre) les systèmes de vérifications mis en œuvre par les polices. Ces derniers n’hésitent pas à développer des logiciels pour parfaire leurs faux-papiers, tels que des générateurs de codes barres par exemple ou encore la modification des bandes magnétiques.

Autres fraudes relatives au carding

Voici des captures d’écran de la page d’acceuil d’un Blackmarket vous résumant le « reste » :

Conclusion

A la suite de cette étude nous pouvons conclure sur le fait qu’internet peut donner accès à des trafics pour n’importe qui tels que le trafic d’armes, de drogues, de faux-papiers, de données bancaires etc…

Le fait le plus effrayant est que n’importe qui peut avoir accès aux méthodes, à l’achat et à la vente de ce type de produits.

 

L’article ayant ici été écourté, vous pouvez le retrouver dans son intégralité sur le blog de Toolzware. Bravo pour cette étude complète et détaillée qui s’est réalisée sur un mois par Lycroft.

7 Commentaires

  1. salut

    l’auteur de cet article m’a l’air d’être plus que renseigné 😉
    vous avez des termes qui ne trompent pas
    pour répondre au message ci de sous

    le carding permet justement pour les gens qui débute de se faire une petite tire lire pour monter en grade par la suite…c’est que le début en fait!

  2. Le carding en e-commerce, c’est typiquement français, de l’amateurisme, quand tu est au point tu passe au Skimming et la c’est du haut niveau !

  3. Bonjour merci de votre reportage c’est très rare en france, belle initiative,même si malheureseument cela ne peut que crée des vocations.
    Ensuite le il me semble que le prix d’un numéro de carte de crédit n’est pas 10 $ mais plutôt 1,2,3,4,5 $ selon le lieu de la personne volée.
    A savoir également qu’au moins un des deux service démenteler cette énnée n’était en fait qu’un honey pot géant du FBI, le site était baser sur leur serveurs, et le pire c’est qu’un des mec est aller au états unis pour vendre plusieur centaines de milliers de numéro et c’est fait coffré directement en arrivant a laéroport.
    il y a un moyen de aussi pour choper des numéro c’est de faire des injections SQL dans des lieu public ou sniffer des réseaux, un américain a réeussi comme ça a dérobber plusiseurs million de numéro de carte, malheureusement pour lui il passera les 20 prochanines années de sa vie dernièrre les barreau.

Les commentaires sont fermés.