La fraude en ligne a ses propres places de marché

Il existe des sites sur la Toile qui permettent aux fraudeurs en tous genres de partager de l'information, mais surtout, de vendre ou d'acheter des données, comme des numéros de cartes bancaires volées ou fausses. De véritables places de marché de la fraude en ligne, en résumé.

C'est ce qu'a mis en lumière l'américain* RSA Security, à l'occasion de la présentation d'une nouvelle solution logicielle (1) à destination des banques pour lutter contre la fraude qui touche leurs clients. La société a pris l'exemple de Darkmarket, un site hébergé aux Etats-Unis par Webby Technologies. Selon RSA, ' un site comme cela tient au mieux six mois, après, il faut rechercher à nouveau ', précise Yohai Einav, un des experts antifraude de l'entreprise. RSA surveille ce genre de sites pour mieux lutter contre eux. Il lui arrive aussi de collaborer avec des autorités comme le FBI.

Darkmarket est, au premier abord, un forum d'apparence classique. Un premier sujet ' News ', un deuxième ' Rules and Information ' (' Règles d'usages et informations '), un magazine en ligne. Il ressemble à bon nombre de places de marché entre particuliers : achat, vente, enchères, cooptation des membres, etc. Mais ici, les transactions portent sur des cartes bancaires, des numéros de cartes, des logins de sites de banques ou d'administrateurs de sites d'e-commerce, des algorithmes... Et quantité d'autres données et informations pour frauder en ligne.

Les sujets des posts ne se limitent pas à l'achat-vente. Certains cherchent, par exemple, pour détourner des sommes d'argent envoyées par la Western Union, quelqu'un pour confirmer l'envoi (ce qui permet de valider la transaction et, ainsi, au destinataire, frauduleux, de toucher l'argent). D'autres publient une explication pour ' retirer vite fait, bien fait, 2 000 dollars via PayPal ' ou, encore, pour ' imprimer une carte bancaire sur PVC avec une imprimante Epson '.

Le site est très bien organisé. Un espace ' Vendors ' accueille les posts de vendeurs réguliers et (sic) certifiés fiables par la communauté. En revanche, la rubrique ' Bazaar ' est faite pour les ' one time deals '. C'est-à-dire les nouveaux venus ou ceux qui ne comptent venir qu'une fois. Là, la suspicion est de mise, par peur des sociétés antifraude infiltrées. Le site refuse, par exemple, que les vendeurs y proposent des cartes bancaires avec code, sous peine de les bannir.

Sur l'espace Auction House on trouve, comme son nom l'indique, les enchères. En rayon, le 29 août, quatre logins Wells Fargo, mise à prix 120 dollars. Ou ' 1200 cartes bancaires pour 6 000 dollars, enchères à 100 dollars, soit 5 dollars la carte ; expire dans cinq jours '... Le paiement passera par un canal tout à fait légal, un compte e-Gold, équivalent de PayPal. Les prix sont en partie fixés en fonction des risques que prennent les vendeurs.

Mais cela va encore plus loin. Darkmarket met à la disposition de ses utilisateurs un petit outil permettant de vérifier quantité d'informations à partir d'un simple numéro de carte bancaire acheté. Une fenêtre apparaît, avec divers champs de saisie. Il suffit de rentrer le numéro de carte et les autres champs se remplissent : nom de la banque correspondante, son téléphone, pays ou Etat, type de carte (Visa, Mastercard...), etc. ' Vous n'avez pas besoin d'être un génie de la technologie, souligne Louie Gasparini, responsable de la divison consommateurs de RSA. Tout ce que vous avez à faire, c'est aller lire les tutoriaux. '

Comble du comble : comme sur n'importe quel site, l'arnaque est très mal vue ! Les utilisateurs de Darkmarket pouvant difficilement aller se plaindre à l'UFC-Que Choisir, ils ont à leur disposition la rubrique Scumbags and rippers (en gros : les ' arnaqueurs '). Mauvais vendeurs et mauvais payeurs y sont impitoyablement dénoncés. Un certain Jokka, qui a pu récupérer un login de la banque HSBC sans le payer, a eu dans cette rubrique son pseudo, son adresse, son numéro ICQ et la retranscription des échanges qu'il a tenus avec son vendeur.