Des chercheurs de Kaspersky ont découvert un marché souterrain, accessible sur invitation seulement, sur lequel il est possible d’acheter des informations de cartes bancaires volées associées aux empreintes numériques de la victime, ce qui signifie que les criminels peuvent les utiliser pour tromper de nombreux systèmes antifraude. Actuellement, le Genesis Store vend pas moins de 60 000 packs de profils volés comprenant empreintes digitales, noms et mots de passe web des utilisateurs, cookies et informations de cartes de crédit, à un prix variant de 5 à 2000 dollars. Un panneau de recherche permet aux criminels d’acheter des profils selon différents critères : noms d'utilisateur et mots de passe de sites web particuliers, pays de résidence de la victime, système d'exploitation ou date à laquelle le profil est apparu pour la première fois sur le Darknet. « Ce pack, disponible à la vente, permet au criminel d’usurper l’identité de la victime », a déclaré Sergey Lozhkin, chercheur senior en sécurité de Kaspersky, lors du Security Analyst Summit organisé à Singapour du 8 au 11 avril par l’entreprise de sécurité.

Les dommages potentiels sont importants. Pour distinguer les fraudeurs des acheteurs légitimes, les systèmes antifraude utilisent généralement des mécanismes de vérification de l'empreinte numérique de l'acheteur. Ces données peuvent inclure plus d’une centaine d’attributs spécifiques au périphérique de l'utilisateur, comme l’adresse IP (externe et locale), des informations d’affichage (comme la résolution de l'écran, la taille de la fenêtre), la version du firmware, la version du système d'exploitation, les plug-ins de navigateur installés, le fuseau horaire, etc. Si l’acheteur utilise une carte de crédit à partir du même périphérique (avec la même empreinte numérique) qu’auparavant, il y a de fortes chances que la transaction soit considérée comme légitime et ne suscite aucune alerte. « En conséquence, l'utilisateur masqué apparait comme légitime, et sa tentative d'effectuer un achat en utilisant les coordonnées bancaires fournies, sera approuvée », a déclaré Sergey Lozhkin. Pour augmenter le mimétisme, le Genesis Store propose également un plug-in (fonctionnant sur le navigateur Chromium) qui permet aux utilisateurs d'installer des profils numériques volés dans leur navigateur et « d'un simple clic de souris » de devenir le « sosie de la victime », a expliqué le chercheur de Kaspersky.

Une centralisation des informations 

« Pour constituer leur énorme référentiel d’informations et de profils, les propriétaires du Genesis Store ont utilisé leurs propres logiciels malveillants, mais ils ont aussi complété ces informations en demandant l’aide des propriétaires de botnets », a expliqué Sergey Lozhkin. « Le Store achète ces informations aux botnets et les revend. C'est un revendeur », a-t-il ajouté. La boutique propose également un générateur d'empreintes numériques unique pour les acheteurs qui ne veulent pas acheter les informations de cartes. Celles-ci ne permettent pas toujours de contourner les systèmes antifraudes, mais elles sont moins suspectes que si le criminel utilisait plusieurs cartes à identités multiples pour effectuer des achats à partir du même périphérique. Selon le chercheur, il y a probablement beaucoup plus de marchés « privés » fonctionnant selon une approche similaire. « Le Genesis Store s’est ouvert davantage parce qu'il a beaucoup d'informations à vendre et ses propriétaires veulent communiquer un peu plus largement… Mais ce n’est que la partie visible de ce vaste marché », a-t-il encore déclaré.

Heureusement pour les consommateurs, la plupart des sites de commerce électronique et de banques exigent une authentification à deux facteurs pour effectuer des achats en ligne. « Par contre, aux États-Unis et au Canada, où l'authentification à deux facteurs n'est pas la norme adoptée par la plupart des banques pour les achats en ligne, les consommateurs sont plus exposés », selon M. Lozhkin. « De nombreuses enseignes américaines ne demandent rien. Mais tout dépend de la banque. Les criminels savent quelles banques n'utilisent pas le système d'authentification à deux facteurs, et ils font en sorte de n'acheter que les informations de cartes de crédit émises par ces banques », a-t-il ajouté. « L'authentification à deux facteurs pour les transactions par carte bancaire est une nécessité absolue et la meilleure solution », selon le chercheur, qui a déclaré avoir été lui-même victime d’une fraude à la carte de crédit. « Si vous achetez un ordinateur portable en ligne, il faut une authentification à deux facteurs. Et si vous achetez ensuite un sac pour le même ordinateur, il faut que l’authentification soit à nouveau active », a-t-il recommandé.

Eduquer les clients 

Selon M. Lozhkin, qui a déjà enquêté sur la fraude en ligne à la carte bancaire pour le ministère russe de l'Intérieur, certaines banques n’ont pas mis en œuvre d’authentification à deux facteurs de peur de perdre des clients. « Il y a tellement de clients qui utilisent des cartes de crédit pour effectuer des achats en ligne, qu'il est difficile selon elles de les forcer à utiliser l’authentification à deux facteurs, de leur expliquer comment ça marche, parce qu'ils ne veulent pas taper autre chose que leurs informations de carte de crédit », a-t-il affirmé. « Quant à la banque, elle préfère peut-être perdre de l'argent à cause des fraudes plutôt que de perdre des clients et de dépenser de l’argent à les éduquer ».