Archives du mot-clé Cybercrim’

Analyse d’un skimmer

Les plus paranos d’entre nous ont pris l’habitude de secouer un peu les plastiques du lecteur de carte ou du bloc situé au dessus du clavier sur les distributeurs de billets.

Matt South de Trust Foundry a aussi pris cette habitude et alors qu’il était en voyage à Bali (Indonésie), un bloc qui aurait du être solidaire du distributeur lui est resté dans les mains.

Ce bloc était étrangement connecté pour ce qui devait être un simple cache en plastique. Il s’agissait en fait d’un skimmer.

Avec une bonne dose de patience il a pu récupérer les vidéos enregistrées par le skimmer et extraire le matériel utilisé.

Le hacker russe de Global Payments plaide coupable

Via SC Magazine :

Vladimir Drinkman, un hacker russe impliqué dans le vol de 1.5 million de numéros de cartes de crédit via l’intrusion dans les serveurs de Global Payments, et qui avait été extradé aux USA a plaidé coupable pour des accusations de conspiration, intrusion informatique et fraude bancaire.

D’après un vieil article de Brian Krebs, Vladimir Drinkman faisait parti d’un gang mené par nul autre qu’Albert Gonzalez à l’origine du hack de TJX.
Gonzalez purge une peine de 20 ans de prison pour le vol de 90 millions de numéros de cartes bancaires.

Vladimir Drinkman risque lui une peine maximale de 30 ans de prison.

Si un DAB émet un signal Bluetooth, méfiez-vous

Brian Krebs a décidé de passer des vacances au Mexique. Enfin, des vacances pas vraiment : il a été informé que là bas un gang d’Europe de l’Est paye grassement des techniciens de banques pour leur faire installer un skimmeur DANS le distributeur automatique de billets ce qui les rend extrêmement difficiles à détecter.

Brian Krebs s’est donc lancé sur la piste de ce gang et dès son arrivée à Cancun il a découvert que les DABs présents dans son hôtels ont le signe caractéristique d’être compromis : ils émettent un signal Bluetooth nommé Free2Move qui est le nom par défaut du périphérique utilisé par les escrocs, ces derniers ne prenant pas la peine de changer ce nom…

La quantité de DAB compromis serait assez importante, bien qu’il soit trop tôt pour le dire, et avec la police corrompue là-bas on peut imaginer le pire.
Dans son article Krebs montre aussi une vidéo où on peut voir le signal Bluetooth être détecté par son téléphone.

La suite au prochain épisode 🙂

Darkode bientôt de retour en hidden-service Tor

La chute de Darkode n’aura pas durée longtemps : le pirate nommé Sp3cial1st, membre de Lizard Squad, non mentionné dans le document du FBI concernant l’opération Shrouded Horizon a mis en ligne le site darkode.cc.

A l’heure actuelle le DNS retourne 127.0.0.1 mais le site MalwareTech a eu le temps d’accéder au site qui indiquait que le forum deviendrait un hidden-service Tor et que chaque utilisateur du forum se verra remettre une adresse .onion différente.
De cette manière les administrateurs pourront plus facilement couper l’accès aux personnes qu’ils ne souhaitent plus voir sur le site.

… ou alors une opération du FBI est en cours. La suite au prochain épisode :p

Finlande : un membre de Lizard Squad arrêté

Via Krebs On Security :

Çà fait un moment que l’on avait plus de nouvelles de Lizard Squad.

Et bien on apprend que ZeeKill, de son vrai nom Julius Kivimäki, a été arrêté par les autorités de son pays pour un total de 50.000 actes de cyber-criminalité.

Le pirate aurait notamment exploité des failles sur des serveurs Cold Fusion pour remplir son botnet.
Le groupe se servait de ces machines pour lancer des attaques DDoS sur des cibles importantes comme Sony, Microsoft ainsi que des plateformes de jeu.
Ils monnayaient aussi un booter (service de DDoS) baptisé lizardstresser.

Julius est aussi connu pour des actes de swatting, fraude bancaire, fausses alertes à la bombe…

Du coup vous vous dites qu’il a pris cher… et bien non : une amende de 6558 euros et deux ans de mise à l’épreuve. En gros en Finlande les crimes informatiques sont pardonnés aux mineurs.
Pour fêter ça il a changé son status Twitter en « Untouchable hacker god ».
Pas sûr que Sony soit amusé par cette info…

USA : des skimmeurs piégés par la police

Via KrebsOnSecurity :

A Redlands en Californie des policiers ont choisi de placer un mouchard GPS sur un skimmeur découvert dans une borne de station service.
Dès le lendemain, via un outil de tracking de la police, ils découvrent que le skimmeur se déplace. En suivant le signal ils ont pu interpeller des suspects qui détenaient alors plusieurs skimmeurs.

D’après 3VR, une société spécialisée dans la surveillance et qui a vraisemblablement fourni le service au département de police, les policiers de Redlands auraient pu faire 139 arrestations grâce à l’utilisation de trackeurs GPS, pas seulement sur des cas de skimmming mais pour des vols de voiture, de pharmacie, de vélos, de laptop, de courrier… (?)

Dyre Wolf : la nouvelle cyber-arnaque bancaire

Via TheRegister :

IBM a publié un rapport (PDF) sur un groupe de pirates qui utilisent avec brio le malware Dyre, le nouveau trojan-bancaire à la mode.

Les attaquants font tout pour que la victime n’y voit que du feu et d’après IBM certaines des victimes (de grosses entreprises) ont pu voir jusqu’à 1 million de dollars disparaître de leurs comptes pour aller se réchauffer vers des comptes offshore…

La méthodologie utilisée se base sur différentes étapes :

D’abord un mail de spear-phishing est envoyé. La technique est ici classique et compte sur le manque de connaissance informatique de la victime pour qu’elle exécute un exécutable en pièce jointe.
Une fois connecté le malware se connecte à un C&C. Point original les pirates semblent utiliser I2P pour cacher leur identité. Ce malware va aussi surveiller si la victime ne se connecte pas à un site bancaire dans l’objectif de récupérer des informations de base (nom de la banque, identité du client, etc)
Troisième étape, quand suffisamment d’infos sur la victime ont été récupérés, un proxy local intercepte et modifie la page de la banque pour indiquer qu’un problème a été détecté sur le compte et qu’il faut appeler un numéro (appartenant aux pirates).

Le criminel au bout de la ligne téléphonique profite alors des informations dont il dispose pour faire une annonce réaliste quand il décroche (Banque X, bonjour Monsieur Y, etc) et met ainsi la victime en confiance pour lui demander ses informations bancaires.

Dernière étape : le compte de la victime est vidée avec en cadeau un petit DDoS sur le réseau de la victime pour empêcher qu’il réagisse trop vite à l’arnaque.

LizardSquad dans le collimateur du FBI

Via DailyDot et KrebsOnSecurity :

Ca chauffe pour le duo LizardSquad : après les attaques DDoS contre Sony, Microsoft et d’autres serveurs de jeux, plus des alertes à la bombe et le SWATing d’un agent du FBI, les deux membres ont le feu aux fesses.
Qui plus est, Krebs, lui aussi victime de DDoS a publié l’identité des compères, autant dire que l’arrivée des V va se faire sans surprise… sacré façon de fêter la nouvelle année :p

Des skimmers interceptants qui se branchent directement sur le lecteur de carte

Via Brian Krebs :

Le 14 novembre, Brian Krebs parlait d’un nouveau type de skimmer : les skimmers interceptants.
Au lieu d’être placé par dessus la fente destinée à l’insertion des cartes bancaires (ou de carrément mettre un plastique recouvrant toute l’interface du DAB), ceux ci nécessitent de créer un trou dans le distributeur afin d’accéder aux branchements du lecteur de carte à puces pour y placer un périphérique pirate.

Dans la pratique à quoi ça ressemble ? A ceci : les criminels font un trou suffisamment gros pour y passer leur matos puis recouvrent le trou avec un autocollant…

Sony Pictures victime d’un hack d’envergure : 11To de données volées

Via NEXT INpact, ZDNet, ArsTechnica, TheRegister :

Sony, encore eux, toujours victimes d’intrusions informatiques.
Et à nouveau c’est Sony Pictures, la branche cinéma, qui fait les fait d’un énorme vol de données : environ 11To de données auraient été dérobées.

Les auteurs de l’attaque, qui ont signé par un déface, sont un groupe se faisant appeler Guardians of Peace (#GOP) dont l’origine est inconnue mais certains pensent que l’attaque auraient pu être aidée (financée ?) par le gouvernement Nord Coréen. Le gov de Kim Jong-Un en a vraisemblablement après tous ceux qui ont contribué au film L’Interview qui tue ! (vo: The Interview) qui sortira en février 2015 en France.

Les listes des noms de fichiers volées font état de mots de passes, clés de chiffrement, informations personnelles d’employés, communications internes et plus encore.
Le leak est tellement important que la société a préféré mettre au chômage technique un nombre important d’employés pour faire un état des lieux et sans doute préserver la scène du cyber-crime.

On sait déjà que Sony a fait appel au FBI et à la boîte de sécu Mandiant pour analyser l’attaque.