Archives du mot-clé vol

Le hacker russe de Global Payments plaide coupable

Via SC Magazine :

Vladimir Drinkman, un hacker russe impliqué dans le vol de 1.5 million de numéros de cartes de crédit via l’intrusion dans les serveurs de Global Payments, et qui avait été extradé aux USA a plaidé coupable pour des accusations de conspiration, intrusion informatique et fraude bancaire.

D’après un vieil article de Brian Krebs, Vladimir Drinkman faisait parti d’un gang mené par nul autre qu’Albert Gonzalez à l’origine du hack de TJX.
Gonzalez purge une peine de 20 ans de prison pour le vol de 90 millions de numéros de cartes bancaires.

Vladimir Drinkman risque lui une peine maximale de 30 ans de prison.

Si un DAB émet un signal Bluetooth, méfiez-vous

Brian Krebs a décidé de passer des vacances au Mexique. Enfin, des vacances pas vraiment : il a été informé que là bas un gang d’Europe de l’Est paye grassement des techniciens de banques pour leur faire installer un skimmeur DANS le distributeur automatique de billets ce qui les rend extrêmement difficiles à détecter.

Brian Krebs s’est donc lancé sur la piste de ce gang et dès son arrivée à Cancun il a découvert que les DABs présents dans son hôtels ont le signe caractéristique d’être compromis : ils émettent un signal Bluetooth nommé Free2Move qui est le nom par défaut du périphérique utilisé par les escrocs, ces derniers ne prenant pas la peine de changer ce nom…

La quantité de DAB compromis serait assez importante, bien qu’il soit trop tôt pour le dire, et avec la police corrompue là-bas on peut imaginer le pire.
Dans son article Krebs montre aussi une vidéo où on peut voir le signal Bluetooth être détecté par son téléphone.

La suite au prochain épisode 🙂

Une nouvelle technique pour ouvrir les voitures sans clés

Dans un article du NY Times, un journaliste habitant à Los Angeles indique que sa Toyota Prius de 2013 a été visité trois fois récemment et ce sans la moindre trace d’effraction.

Sa voiture est une voiture « sans clé », c’est à dire que pour déverrouiller les portières il suffit de disposer de la clé électronique sur soit et d’être physiquement proche de sa voiture.

Un beau matin il entend son chien grogner et quand il regarde par la fenêtre il voit une bande de jeunes dont une fille portant un boitier électronique s’approcher de sa voiture.
Les jeunes parviennent alors à ouvrir la portière et rentrer dans la voiture comme s’ils avaient la clé.

Après avoir effectué des recherches et discuté avec plusieurs personnes c’est l’hypothèse présentée par la société suisse 3db qui semblerait la plus probable.

Ainsi les jeunes auraient juste utilisé… un amplificateur de signal. Le principe est grosso-modo le même qu’un répéteur WiFi.
La porte de la voiture s’ouvre si le signal de la clé est détecté à proximité. En amplifiant fortement le signal on peut faire croire que la clé est à proximité alors qu’elle est en réalité posée sur une table dans le logement du propriétaire de l’autre côté du trottoir…

Simple mais efficace. Du coup tout les soirs le journaliste dépose sa clé de voiture dans le congélateur qui fait office de cage de Faraday.
On n’arrête pas le progrès :p

Dyre Wolf : la nouvelle cyber-arnaque bancaire

Via TheRegister :

IBM a publié un rapport (PDF) sur un groupe de pirates qui utilisent avec brio le malware Dyre, le nouveau trojan-bancaire à la mode.

Les attaquants font tout pour que la victime n’y voit que du feu et d’après IBM certaines des victimes (de grosses entreprises) ont pu voir jusqu’à 1 million de dollars disparaître de leurs comptes pour aller se réchauffer vers des comptes offshore…

La méthodologie utilisée se base sur différentes étapes :

D’abord un mail de spear-phishing est envoyé. La technique est ici classique et compte sur le manque de connaissance informatique de la victime pour qu’elle exécute un exécutable en pièce jointe.
Une fois connecté le malware se connecte à un C&C. Point original les pirates semblent utiliser I2P pour cacher leur identité. Ce malware va aussi surveiller si la victime ne se connecte pas à un site bancaire dans l’objectif de récupérer des informations de base (nom de la banque, identité du client, etc)
Troisième étape, quand suffisamment d’infos sur la victime ont été récupérés, un proxy local intercepte et modifie la page de la banque pour indiquer qu’un problème a été détecté sur le compte et qu’il faut appeler un numéro (appartenant aux pirates).

Le criminel au bout de la ligne téléphonique profite alors des informations dont il dispose pour faire une annonce réaliste quand il décroche (Banque X, bonjour Monsieur Y, etc) et met ainsi la victime en confiance pour lui demander ses informations bancaires.

Dernière étape : le compte de la victime est vidée avec en cadeau un petit DDoS sur le réseau de la victime pour empêcher qu’il réagisse trop vite à l’arnaque.

Des skimmers interceptants qui se branchent directement sur le lecteur de carte

Via Brian Krebs :

Le 14 novembre, Brian Krebs parlait d’un nouveau type de skimmer : les skimmers interceptants.
Au lieu d’être placé par dessus la fente destinée à l’insertion des cartes bancaires (ou de carrément mettre un plastique recouvrant toute l’interface du DAB), ceux ci nécessitent de créer un trou dans le distributeur afin d’accéder aux branchements du lecteur de carte à puces pour y placer un périphérique pirate.

Dans la pratique à quoi ça ressemble ? A ceci : les criminels font un trou suffisamment gros pour y passer leur matos puis recouvrent le trou avec un autocollant…

Données bancaires dérobées chez la société US Home Depot

Via KrebsOnSecurity (article 1, article 2), TheRegister :

L’entreprise américaine Home Depot (équivalent de nos Leroy Merlin ou Castoramas) a subit une ou plusieurs intrusions qui ont mené à ce qui est peut être le plus important vol de données bancaires ayant eu lieu jusqu’à présent (en terme de nombre d’enregistrement).
Ce vol serait ainsi plus important que celui qui a touché les grandes surfaces Target en décembre 2013 (110 million de clients affectés).

Les données bancaires se monnayent déjà sur un blackmarket baptisé rescator.cc. L’intrusion semble concerner tous les magasins de la chaîne… Soit les attaquants ont trouvé une faille commune à chaque site soit ont obtenu un accès sur une base commune ou encore ils ont agit avec une aide interne…

1.2 milliards de mots de passe dans la nature

Vie TheRegister, NYTimes, LesEchos :

La boîte de sécu Hold Security basée au Milwaukee affirme avoir mis la main sur le pactole d’une bande de hackers russes : 1.2 milliards de mots de passe volés qui proviendraient de plus de 420.000 sites vulnérables (généralement à des injections SQL).
La nature de ces sites n’a pas été révélés mais il s’agirait de n’importe quel type de site… les pirates ont sans doute tapé au hazard et ont dû s’aider d’un botnet. Du coup est-ce que ces données ont une véritable valeur pour du black-market (il y a t-il quelques sites d’importance dans le lot) ?

Ce ne serait pas la première fois que des robots cherchent via les moteurs de recherche des sites potentiellement vulnérables à des SQL injections.
Réel danger ou tout simplement un gros buzz pour une boîte de sécu dont on n’avait jamais entendu parler auparavant ?