COMMENT curieux. Au début de cette année, ma banque m'a envoyé un remplacement de carte de crédit. Je ne l'avais pas demandé, et la banque n'a pas donné de détails, sauf à se référer de manière vague de la "sécurité" des questions.
Je ne sais toujours pas pourquoi ma carte a été remplacé, mais j'ai une intuition: un massif électronique heist New Jersey à une société fondée sur Heartland Payment Systems. Heartland agit comme un intermédiaire entre les détaillants et les sociétés de cartes de crédit, et des processus d'environ 100 millions de transactions chaque mois. À un certain point de Mars 2008, un groupe de pirates aurait réussi à l'entreprise de cyber-défense. Ils ont installé des logiciels qui, pendant environ quatre mois, relayé secrètement de crédit et de débit de carte à un ordinateur externe. Il est probable que des dizaines de millions de cartes ont été piratées.
Comme beaucoup d'autres personnes, j'ai raté la news sur Heartland - peut-être parce qu'il a été annoncé le jour de l'investiture de Barack Obama. Mais ma découverte tardive fait je me demande ce qui serait arrivé à ma carte de crédit si elles avaient été volés. Alors j'ai appelé la société de sécurité Internet, Team Cymru, basée à Burr Ridge, Illinois. Quelques semaines plus tard, la cybercriminalité et experts Santorelli Steve Levi Gundert m'a présenté à un vaste criminels si grande et répandue que ne peut le contrôler.
Ce souterrain est étonnamment facile d'accès. Il se compose d'un réseau de salons de discussion en ligne et de forums où l'information volée est ouvertement échangés, ainsi que sur étagère des outils logiciels nécessaires pour enlever à peu près tous les types de fraudes en ligne en cours. «C'est une économie qui vaut des milliards de dollars», affirme Dean Turner, de la compagnie de sécurité Symantec, à Calgary, Canada. «Il est très organisé. Tout ce que les criminels ont besoin est disponible pour la vente."
Il n'a pas toujours été comme ça. Dans les premiers jours, le piratage pénales nécessaires compétences techniques avancées. Mais le crime organisé a été déplacée à l'intérieur et le marché noir est devenu une économie de services où n'importe qui peut acheter une carrière dans la cybercriminalité.
Dès que Santorelli Gundert et me connecter sur un salon de discussion, les messages commencent à apparaître.
: I got hacked frais du Royaume-Uni CVV2
Mes guides expliquer. Cela signifie que par un criminel du nom de "cinch" * est la vente de vol de carte de crédit britannique. "CVV2" signifie qu'il ou elle a le plein numéros de carte de crédit, les dates d'expiration, adresse de facturation et les trois chiffres des codes de sécurité sur le dos des cartes - tous les détails dont vous avez besoin de faire un achat dans la plupart des détaillants en ligne. Ces vous coûtera rien de plus de 50 cents à 12 $ en fonction de la carte de la limite de crédit, d'où il vient, et combien vous voulez acheter.
Gundert dit que cinch ou un associé probablement obtenu ces informations en piratant un détaillant en ligne ou d'un intermédiaire, comme le cœur. Web des détaillants utilisent régulièrement difficile de protection électronique, mais les pirates sont redoutablement habiles à trouver et à exploiter des trous dans leur défense. Une fois que les pirates sont, ils peuvent ramasser des cartes de crédit et de commencer à les vendre. Le détaillant mai ne sait jamais ses moyens de défense ont été violés.
Symantec estime que près d'un tiers de toutes les annonces dans l'économie souterraine sont des informations de carte de crédit d'un certain type (voir schéma). Bien que j'ai été parler à Santorelli Gundert et, une nouvelle, plus sinistre message est apparu:
: Uk US Dump Track 1 Track 2
Loopz vend "décharges" - CVV2s plus toutes les informations encodées dans la carte à bande magnétique, connu sous le nom de la voie 1, ou stockées dans la puce est intégrée dans de nombreux pays européens de cartes, qui est appelé la voie 2.
Dumps sont plus utiles. L'accès à ces données permet aux criminels d'imprimer "cloner" des cartes de crédit et magasin presque partout. La carte de l'équipement d'impression coûte $ 20,000 à $ 30,000, mais il n'est disponible légalement. Si cet investissement est trop important, les opérateurs peuvent email les détails pénale spécialiste des imprimantes, qui fonctionne sur les cartes et les retourner par la poste pour seulement quelques dollars par carte.
Envoyer un message à loopz demande de prix et de disponibilité. Quelques minutes plus tard, je reçois une réponse: il dispose de 10 décharges et veut 15 $ pour chacun.
Cela semble ridiculement bon marché pour plus de détails qui pourraient être potentiellement "encaissé out" pour des milliers de dollars. Il ya quelques mois, pourrait loopz ont demandé à plusieurs reprises que. Mais l'offre et la demande de cette forme de marché, tout comme les autres, et, récemment, les prix ont chuté. Il est impossible de dire pourquoi, mais le ralentissement économique n'est probablement pas la cause: la fraude par carte de crédit, dit Turner, est un anti-récession des affaires. Santorelli de deviner, c'est que le marché a été inondé d'information de vol de Heartland.
Comme dans toute transaction, toutefois, que l'acheteur se méfier. Toute personne qui a pris loopz sur l'offre aurait probablement venu les mains vides. Santorelli dit que 9 des 10 commerçants dans la salle de chat sont des "rippers" - avec les artistes qui prennent l'argent et de courir. Pour lutter contre cela, de nombreux opérateurs imposent chatroom un système semblable à ceux que vous trouverez sur eBay ou Amazon. La plupart des 340 personnes dans la salle sont, comme loopz, non cotées, mais quelques points de couleur sont à côté de leur nom qui indique qu'ils ont montré un certain niveau de confiance dans leurs précédentes transactions: les changements de couleur du jaune au bleu au vert pour rouge comme l'opérateur de la réputation grandit. Je suppose que ce qu'ils veulent dire par l'honneur parmi les voleurs.
Certains salons de discussion taux de la demande des opérateurs de fiabilité. Je suppose que ce qu'ils veulent dire par l'honneur chez les voleurs
Il ya une poignée de "réputation" des commerçants dans la chambre, y compris les netter, qui a un point bleu à côté de son nom.
: Vente USA pleins CVV2 Info + SSN MMN DOB 8 $ par 1
Cela marque netter comme un voleur d'identité. "Pleins" est du jargon pour un recueil d'informations qui comprend des détails de carte de crédit, mais aussi plus personnelles: SSN pour numéro de sécurité sociale, MMN pour la mère le nom de jeune fille et la date de naissance de la date de naissance. Les criminels peuvent utiliser ces informations à la demande de cartes de crédit, des emprunts ou à ouvrir des comptes bancaires à blanchir de l'argent.
Commerce de détail des systèmes comme le cœur, ne sont pas généralement des informations personnelles, mais les pirates trouvent étonnamment facile de duper les gens dans sa remise. "Netter est presque certainement obtenir ses informations par phishing», explique Gundert. Il a fait référence aux escroqueries qui dirigent les utilisateurs vers des sites Web qui ressemblent presque identiques à ceux qui sont exploités par les grandes banques. En réalité, les sites sont exploités par des criminels, qui les utilisent pour tromper les gens en donnant le type de renseignements qui est netter vente.
Phishing sonne comme une opération complexe, et il ya cinq ans, il a été. Mais, comme l'e-commerce en général, l'économie a évolué. Maintenant, un travail peu qualifié criminel peut acheter tout ce qu'il faut pour aller phishing. J'ai vu plusieurs annonces pour off-the-shelf phishing kits, et d'autres pour piraté les serveurs d'accès à Internet, qui hameçonneurs besoin d'accueillir leurs faux sites Web. D'autres encore ont été colportage scanners - un logiciel qui erre dans l'Internet pour la recherche des trous dans des serveurs de défense. Je pourrais aussi avoir acheté hacked email de connexion, qui peut être utilisé à l'accroupissement sur l'espace web gratuit qui vient avec la plupart des comptes de l'internet, mais dont peu de gens utilisent.
Le phishing n'est pas la seule façon de voler les logins. Les pirates peuvent également installer clandestinement "keylogger" logiciel, peut-être en la joignant à un courriel qui semble provenir d'un ami. Une fois installé, le keylogger surveille chaque frappe de touche par un utilisateur et relais d'informations à un ordinateur distant appelé un Dropzone.
L'année dernière, Thorsten Holz à l'Université de Mannheim en Allemagne, a examiné de près keylogging. Lui et ses collègues 240 dropzones traqué et a pris un coup d'oeil dans 70 d'entre eux. Ils ont trouvé les noms d'utilisateurs et mots de passe eBay pour environ 5700 comptes de connexion de plus de 10.000 comptes en banque et 5700 numéros de carte de crédit. Holz estime que cette information était utile de 16 millions de dollars.
Ainsi, si seulement 70 dropzones ouvrir la voie à une telle somme d'argent importante, quelle est la valeur de tout le noir? Étant donné que les criminels ne déposent pas les rapports des sociétés, il est difficile d'être précis. Dans l'un des seuls une poignée d'études indépendantes, Vern Paxson de l'International Computer Science Institute à l'Université de Californie, Berkeley, suivi de sites commerciaux sur une période de sept mois en 2006. Il a vu plus de 13 millions de messages envoyés sous des noms différents 100.000. Chaque jour, plus de 400 numéros de cartes de crédit ont été publiés, et l'accès au piratage de comptes bancaires contenant des millions de dollars offerts. Près de 4.000 le nombre de sécurité sociale en vigueur ont été publiés au total. Dans l'ensemble, la valeur des métiers observés Paxson 93 millions de dollars.
L'économie est presque certainement beaucoup plus grande que maintenant. Un an de suivi à long-terme par Symantec en 2007 et en 2008 a identifié de carte de crédit, comptes bancaires et autres informations de vol de 276 millions de dollars sur un petit échantillon de métro chatrooms.
Sans surprise, les criminels peuvent faire fortune. Par exemple, le gouvernement américain tente actuellement de prendre possession de 1.650.000 $ en espèces, d'un condominium à Miami et une BMW appartenant à hacker Albert "CumbaJohnny" Gonzalez, qui a été inculpé en août dernier avec 10 complices présumés des États-Unis, la Chine, du Bélarus , l'Ukraine et l'Estonie.
J'ai trouvé cela troublant de voir des gens comme ce faire des affaires dans les chatrooms. Le fait que la conversation était publique ne s'arrête pas moi le sentiment que je l'écoute indiscrète: c'était comme si j'étais écouter une bande de discuter des plans pour un vol de banque. Mais il existe une différence cruciale. Dans le monde réel, je pourrais appeler la police et d'identifier les traceurs. La piste des personnes qui se cachaient derrière les noms d'utilisateur et comme netter cinch est presque impossible.
La première couche de l'anonymat est assuré par les serveurs exécutant les chatrooms, qui sont programmés pour masquer l'identité des opérateurs économiques. J'ai demandé au serveur de fournir des informations sur loopz. Voici ce qui revient:
: Loopz@xxxxxxx-6C3F616C.adsl-static.isp.belgacom.be
Même pour un spécialiste, cela ne signifie pas grand chose, sauf que la salle serveur est configuré pour cacher l'opérateur identité. Les dernières parties suggèrent que loopz mai être connecté via Belgacom, basée à Bruxelles fournisseur de service Internet, mais il n'ya aucune garantie de cela, comme il existe de nombreuses façons pour les pirates de la route obscure qu'ils utilisent pour se connecter. Certains location de temps sur les serveurs légitimes et d'envoyer leurs messages à partir d'eux plutôt que leur ordinateur. D'autres utilisent des robots - logiciels illégaux installés clandestinement sur d'autres ordinateurs - à relayer les messages pour eux. Dans tous les cas, il est très difficile pour les agents d'application de la loi d'identifier l'emplacement de l'expéditeur.
Suivi de la salle des serveurs est aussi difficile. J'ai lancé une recherche standard, connu comme un "whois query", afin d'établir l'adresse internet de la salle de chat. Elle a révélé que que les opérateurs disposent d'une appréciation de l'ironie: ils ont enregistré le serveur sous le nom et l'adresse de la New York State Division of Criminal Justice Services.
L'application de la loi des experts, tels que la cyber-équipe de sécurité dirigé par le FBI, ont des méthodes plus sophistiquées pour localiser les serveurs de chat, mais le sentier mène souvent à des pays comme la Chine ou la Russie, où les organismes étrangers peuvent trouver beaucoup de temps pour collaborer avec la police. Les experts en sécurité-dire une meilleure coopération internationale est la production de résultats, comme l'année dernière, l'arrestation de deux des pirates turcs. Il y aura toujours des gouvernements, cependant, qui ne fonctionnera pas avec les autorités, dans l'ouest, où la plupart des victimes de la cybercriminalité vivre.
En l'absence de correctif technologique, l'application de la loi doit se fonder sur l'ancienne détective techniques, telles que les opérations et l'utilisation d'informateurs. La police peut aussi travailler à la chaîne commerciale par la capture des criminels utilisant les cartes de crédit volées dans les magasins et puis retrouver les commerçants qui ont fourni les faux en plastique.
Toutes ces techniques ont joué un rôle de police dans les grandes réussites de ces dernières années, y compris l'arrestation de Septembre 2007 Max "Iceman" Butler, un commerçant de San Francisco qui est accusé d'avoir géré un site connu sous le nom de Cardersmarket d'avoir personnellement et vendu des dizaines de milliers de numéros de carte de crédit. Un mois plus tôt, une enquête des services secrets américains a abouti à l'arrestation de 11 personnes dans ce que les fonctionnaires fédéraux a dit le plus grand vol d'identité et le piratage buste.
Comme les victoires qui sont causes de la célébration, et pas seulement pour les émetteurs de cartes et de détaillants. Si quelqu'un hacks votre carte de crédit, ils prendre le projet de loi. Mais les deux en fin de compte passer le coût sur les consommateurs. Donc, en fin de compte, nous payons tous pour les biens mal acquis des cinch et netter.
Le coût serait moindre si nous avons tous pris des mesures pour nous défendre (voir "la cybercrooks Beat»). Mais avec tant d'argent à faire, la menace ne va pas s'en aller. "Il n'y a jamais d'être une balle d'argent", dit Santorelli. "On peut rendre plus difficile pour ces criminels, mais jamais nous arrêter."
* Les noms de tous les commerçants ont été modifiées, et certains des messages édité pour plus de clarté
Battre les cybercrooks
La criminalité est en ligne ne va pas disparaître, mais il n'ya aucune raison d'être d'une séance cible. Voici comment vous pouvez garder une longueur d'avance sur les fraudeurs:
#
Utilisez des mots de passe difficile a deviner, pas évident avec les liens personnels, comme votre anniversaire ou le nom de votre rue. Bon mots de passe y inclure une combinaison de haut et des lettres minuscules, chiffres et autres caractères.
#
Changez votre mot de passe souvent.
#
Utilisez un navigateur à jour, système d'exploitation et les logiciels antivirus. Transformez votre ordinateur sur le pare-feu et, si vous utilisez Windows, configurer votre ordinateur pour télécharger automatiquement les nouveaux correctifs de sécurité de Microsoft.
#
Ne jamais télécharger des pièces jointes de courrier électronique des personnes que vous ne connaissez pas ou de confiance. Évitez les pièces jointes que vous n'attendiez pas, même si elles sont d'une source connue.
REF.: