Les mules émulent : Visa offre 11 M$ à des malfrats nécessiteux

Actualités - Hack - Posté on 08 Fév 2013 at 7:10 par Solange Belkhayat-Fuchs

Lorsqu’un « casse du siècle » survient pour la première fois, c’est vraiment un « casse du siècle ». A la seconde édition, cela tourne à la négligence. A la troisième, on peut commencer à parler de philanthropie. Visa, durant la dernière trêve des confiseurs, aurait été victime d’un formidable casse à la carte de débit portant sur 9 millions de dollars dans un premier temps, puis 2 millions de dollars supplémentaires quelques jours plus tard. Comme par le passé avec la désormais célèbre affaire RBS-Worldplay, le vol organisé a été perpétré par une petite armée de mules, réparties sur 12 pays différents, et opérant de manière synchronisée durant un laps de temps très court (moins de deux jours). Les mules étaient chargées de retirer un maximum de liquide sur des distributeurs automatiques de billets (DAB) à l’aide de cartes dont les montants avaient été modifiés après intrusion sur les systèmes d’information des établissements financiers visés.

Brian Krebs détaille le film des évènements dans un article aussi palpitant qu’un polar de quai de gare. Il mentionne au passage la très discrètes lettre que Visa a expédié à ses différents membres, laissant ainsi clairement entendre que la majorité des réseaux et serveurs informatiques des établissements visés par les mules étaient vulnérables. On peut s’étonner de voir ainsi rappeler la nécessité d’installer quelques IDS sur un système bancaire, de configurer correctement un firewall ou de déployer les correctifs nécessaires pour éviter des attaques en injection SQL. Tout ça fleure bon un amateurisme inquiétant : Les porteurs de cartes de débit pouvaient retirer parfois jusqu’à 500 dollars.

Précisons que ni les mules, ni les cerveaux n’ont, jusqu’à présent, été fortement inquiétés. Dans l’affaire du casse RBS-Worldplay (qui a été chiffré à près de 9 millions de dollars), les cerveaux de l’affaire ont fini par se faire arrêter et condamner… à deux ans de prison avec sursis. En ces temps de militarisation des cyber-compétences, un bon malfrat libre vaudrait-il mieux qu’un prisonnier aigri croupissant dans les geôles de la Loubianka ?

Laisser une réponse