150 000 cartes bancaires françaises sont à vendre au plus offrant sur le dark web
Les chercheurs en sécurité informatique de NordVPN ont découvert que plus de 4 millions de cartes bancaires sont en vente sur le dark web, le tout à des prix dérisoires. Si les États-Unis sont les plus touchées, la France n'est pas en reste avec 150 000 cartes concernées.
Malgré l'apparition des cartes bancaires anti-fraude chez de nombreuses institutions bancaires depuis 2018, la revente de coordonnées bancaires sur le web est en plein boum ces dernières années. D'ordinaire, les pirates les obtiennent en hackant de gigantesques bases de données, issues soit des sites de e-commerce, ou bien directement des sites bancaires eux mêmes, à l'image du piratage du Crédit Agricole survenu en septembre 2021.
Seulement et d'après les chercheurs en sécurité informatique de NordVPN, des pirates ont déniché un moyen de trouver des numéros de cartes bancaires sans avoir à pénétrer dans des bases de données. En effet, ces spécialistes ont analysé les données statistiques sur les marchés du dark web de nombreux chercheurs indépendants. Il s'avère que les pirates font tout simplement appel à des attaques par force brute pour deviner les numéros des CB.
Pour rappel, cette technique consiste à tester, l'une après l'autre, chaque combinaison possible d'un mot de passe, d'une clé, d'un identifiant ou ici des numéros d'une carte bleue, afin d'en obtenir l'accès et d'en prendre le contrôle. Comme l'expliquent NordVPN, les attaquants y parviennent car les chiffres de la plupart des cartes suivent un modèle prédéfini, que l'on peut facilement déduire. Par exemple, les deux premiers chiffres indiquent le fournisseur du service financier (comme VISA ou Mastercard), tandis que le dernier chiffre est une somme de vérification.
À lire également : Un million de cartes bancaires piratées sont disponibles gratuitement sur le web
Une attaque par force brute pour devenir les numéros des cartes bancaires
“Il est obtenu en appliquant une équation aux 15 premiers chiffres et est uniquement utilisé pour déterminer si des erreurs ont été commises lors de la saisie du numéro de la carte bancaire”, détaillent les chercheurs dans un schéma. Quand au code CCV, celui qui se trouve à l'arrière de votre carte bleue, il n'est composé que de trois chiffres. De quoi faciliter davantage la déduction.
“Les pirates les plus expérimentés peuvent réduire considérablement le nombre de chiffres qu'ils doivent deviner et vérifier pour trouver votre numéro de carte de paiement. En fait, des chercheurs de l'université de Newcastle estiment qu'une attaque par force brute pourrait ne prendre que six secondes pour trouver la bonne combinaison”, précisent-ils.
Ainsi, les chercheurs ont trouvé pas moins de 4,48 millions de cartes bancaires en vente sur le dark web, à un prix moyen de 17 dollars chacune. Si les Américains sont les plus touchés, les Français ne sont pas en reste avec 154 016 cartes bancaires devinées proposées à la vente. Concernant les CB françaises, 78 441 sont des Visa, 49 549 des Mastercard, et 2 353 des American Express. De l'aveu des chercheurs, il existe très peu de moyens de se défendre contre ce genre d'attaque. Il faut se contenter d'être vigilant, d'activer les SMS de vérification pour chaque transaction et d'éviter d'enregistrer des moyens de paiements sur les sites de e-commerce.
Source : TechRadar