Comment devenir un fraudeur de cartes bleues

En France, les escroqueries à la carte bleue sur Internet atteignent chaque année de nouveaux sommets. Pour l'année 2015, on constatait une hausse de 4,4 % par rapport à 2014. Cela représente une progression faible certes, mais qui s'évalue tout de même à 522,7 millions d'euros de transactions frauduleuses. Un demi-milliard d'euros de carotte, donc.

Si ce secteur de la criminalité continue à progresser, c'est notamment parce qu'il est à la portée de tous. En effet, nul besoin d'être un geek de première main pour réussir à « carder ». Un simple ordinateur portable disposant d'une connexion Internet et du célèbre réseau Tor se révèle en réalité largement suffisant pour devenir un « cardeur » – un hacker de carte bleue.

Jusqu'à récemment, il était facile de se procurer des cartes de crédits sur le web conventionnel, via notamment des sites francophones tels que feu Meziamus ou Liberty-Market. Néanmoins, depuis 2013, tous ces espaces de vente crapuleux ont peu à peu migré vers le darknet dans un souci de sécurité. De fait, c'est désormais le Tor-Browser qui offre accès à cette partie sombre de la vie en ligne, dans un anonymat plus ou moins relatif. C'est via cette interface que j'ai décidé de me lancer à mon tour dans la fraude à la carte bleue.

J'ai d'abord téléchargé Tor et me suis connecté sur le réseau parallèle. À partir de celui-ci, je me suis rendu sur le HiddenWiki francophone sur lequel j'ai rapidement trouvé un ensemble de forums traitant de ladite fraude à la carte bleue. L'accès à ces derniers est payant pour certains. On doit en effet investir l'équivalent de 20 à 50 euros en bitcoins – ce qui représente au passage une source d'argent non négligeable pour les administrateurs de ces sites illégaux.

Une fois inscrit sur l'un de ces forums, je me mets à fouiller et trouve une section nommée « vente de coordonnées bancaires », entre plusieurs topics consacrés à diverses escroqueries : kits aux faux crédits à la consommation, vente de faux papiers et diverses méthodes pour se « faire rembourser à coup sûr ! » vos achats sur les sites de e-commerce type qu'Amazon.

En scrollant, je m'aperçois que lesdites cartes volées sont vendues en fonction de leur « gamme », c'est-à-dire de leur capacité à « cracher » en fonction des différents plafonds de paiements imposés. Une carte bleue VISA classique française coûte ainsi l'équivalent de 12 euros. Une Premier s'échange à 20 euros, une Business 25 euros, quant à une e-Bleue – ces cartes bleues virtuelles permettant d'éviter toute interface de sécurité bancaire telles que 3-D Secure –, c'est 180 euros.

Une fois les coordonnées bancaires achetées, un débutant pourrait être tenté de passer directement à l'action. Mais ce serait absolument suicidaire. Avant de procéder à ses premiers achats, tout bon cardeur doit penser à une chose primordiale : son anonymat. Afin de devenir intraçable, beaucoup d'entre eux suivent un schéma simple quoiqu'extrêmement efficace.

Pour commencer, ils utilisent un seul et unique ordinateur. Celui-ci doit être dédié uniquement à cette activité illégale. Hors de question de se connecter à Facebook ou à sa boîte mail perso depuis celui-ci. Ce dernier doit être de préférence acheté en liquide et d'occasion. Aucune facture ne doit permettre de faire le rapprochement entre le l'ordinateur et son propriétaire. Toute traçabilité doit être impossible.

Ensuite, les cardeurs tentent de squatter un accès Internet ou de se connecter à un réseau où leur nom n'apparaît jamais. Ils se munissent pour ce faire d'une clé 3G ou 4G, dans laquelle ils insèrent une carte Sim activée également sous une fausse identité – disponible pour environ 10 euros. Aussi, il faut garder à l'esprit que les petits opérateurs de téléphonie mobile (ceux présents par exemple dans les taxiphones) n'effectuent aucune vérification quant à l'authenticité des informations communiquées par leurs utilisateurs. Ce qui rend cette partie du boulot plutôt simple.

Toutefois, une autre variante consiste à se connecter depuis les réseaux wi-fi publics des grands opérateurs – SFR, Free ou Orange – à l'aide d'identifiants d'abonnés usurpés, disponibles à la vente pour la modique somme de cinq euros les deux identifiants – là encore, sur n'importe quel market du deep-web.

Les cardeurs peuvent ainsi commettre leurs méfaits sur le dos d'un parfait innocent.

Photo via Flickr.

Aussi, il faut se munir de l'outil favori des escrocs du web : le VPN sans log. Celui-ci cache l'adresse IP fournie par votre fournisseur d'accès Internet et vous en fournit une autre, domiciliée hors de France – tout en faisant la promesse de ne conserver aucune trace de vos activités sur leurs serveurs. Vous devenez donc parfaitement invisible. Cependant, il est arrivé par le passé que des VPN no-log collaborent avec la justice et ce, malgré leur promesse initiale. C'est pourquoi afin d'éviter d'être identifiés, les cardeurs utilisent uniquement les VPN acceptant les paiements en crypto-monnaie – le bitcoin, notamment –, moyen permettant de payer leur abonnement avec 100 % de chances de demeurer anonyme.

Mais là encore, nouveau problème. En effet, tout cet anonymat présente un inconvénient de taille pour les cardeurs : leur panoplie d'invisibilité les amène à devenir suspects aux yeux des sites marchands. Ils ne sont plus Monsieur-Tout-le-Monde. Car en effet, ils ne sont pas Monsieur-Tout-Le-Monde. Rares sont, en effet, les gens qui commandent un iPhone en France depuis une adresse IP localisée en Russie.

En essayant de carder dans ce type de situation, il y a de très fortes chances que la transaction soit refusée. Effectivement, face à la recrudescence des fraudes, les e-commerce se sont lourdement protégés. Des sociétés comme FIA-NET ont ainsi vu le jour, et permettent de détecter les transactions suspectes en étudiant différents critères.

Pour commencer, tout personne cardant par le biais de Linux est considérée comme suspecte. Ce système d'exploitation étant utilisé par une minorité de personnes, il attire systématiquement l'attention. Pour autant, les cardeurs ne peuvent pas passer par un ordinateur traditionnel dépendant de Windows sans potentiellement mettre à mal leur anonymat – c'est pourquoi plupart utilisent des machines virtuelles qui tournent avec ce système pour se fondre tranquillement dans la masse.

Ensuite, une commande effectuée depuis une adresse IP qui se trouve dans un autre pays que celui du lieu de livraison peut éveiller les soupçons et entraîner un contrôle qui aboutira à l'annulation de la commande. Les cardeurs se servent donc de SOCKS5, qui fournit des adresses IP clean et géo-localisées. Le plus célèbre fournisseur de SOCKS5 est vip72.org, et offre un accès illimité à 38 000 IP dans 189 pays pour la modique somme de 33 dollars. Ce service est une aubaine, car en plus de permettre à ses utilisateurs de choisir le pays qu'ils désirent, il offre aussi la possibilité de préciser la ville dans laquelle se trouvera l'adresse IP qui servira à effectuer le card.

Pour ne pas apparaître suspects, les cardeurs peuvent aussi acheter des comptes clients disposant déjà d'un historique d'achats piratés – par exemple : divers log-in Cdiscount, en vente libre sur les forums du dark net.

L'autre système de protection ayant longtemps posé de gros problèmes aux cardeurs : la 3D Secure. Si vous avez déjà effectué des achats en ligne, vous connaissez forcément. Il s'agit d'un petit texto contenant un code que vous recevez lorsque vous réalisez un achat sur le net, et que vous devez entrer sur la page de paiement afin de valider votre commande. Ce code est envoyé par la banque du possesseur de ladite carte bancaire.

En apparence ce système, présent sur 60 % des sites marchands aujourd'hui, semble infaillible. Il est en effet impossible d'avoir accès au téléphone de la personne à qui l'on soutire de l'argent, et donc de pouvoir confirmer l'achat en intégrant le code dans la box prévue à cet effet. Mais c'est sans compter sur l'incroyable imagination des cardeurs.

Car s'ils n'ont pas accès à votre téléphone, ils peuvent par contre s'approprier votre numéro ; ils procèdent à un changement d'opérateur par le biais de la « portabilité ».

En effet, beaucoup de cartes bleues vendues sur le net sont des cartes bleues dites « full » – c'est-à-dire contenant l'ensemble des informations personnelles du détenteur de la carte : nom, prénom, date de naissance, adresse, et numéro de téléphone relié à la carte bleue.

Une fois le numéro de téléphone en poche, le cardeur identifie son opérateur à l'aide du bien nommé site www.capeutservir.com, puis contacte le service client dans le but d'obtenir le RIO [ou Relevé d'identité opérateur] qui permet d'opérer à la portabilité vers une carte Sim anonyme – celle déjà en possession du cardeur. En fonction du conseiller clientèle sur lequel il tombe, le fraudeur aura plus ou moins de difficulté à l'entuber – tout dépend de son habilité à le manipuler pendant la conversation téléphonique. Une fois la portabilité réalisée, le cardeur recevra alors les SMS de confirmation sur la nouvelle carte afin de valider à sa guise toutes les commandes passées.

Toutes ces étapes réalisées, il n'en reste plus qu'une : la réception de la marchandise. En réalité, c'est sans doute la plus risquée. C'est pourquoi la plupart des cardeurs emploient différentes mesures de sécurité afin de minimiser au maximum les risques de se faire attraper en flagrant délit.

La règle d'or est simple : ne jamais rien recevoir chez soi ou chez un membre de sa famille.

Pour les petits colis à même de rentrer dans une boite aux lettres, il faut s'équiper d'un pass-partout – ou « clé des postes » –, disponible à 20 euros sur la plupart des markets. Ces derniers permettent en effet d'ouvrir tous les halls d'immeubles de même que toutes les batteries de boîtes aux lettres. Il ne reste plus qu'à en repérer une ayant l'air inutilisée, de préférence pas trop loin de chez vous – il y en a au moins une par immeuble, dans presque toutes les villes de France –, puis de se l'approprier, en y apposant simplement le nom du propriétaire de la carte bleue dessus.

Les colis plus grands ne pénétrant pas dans les boîtes aux lettres, le facteur laisse comme vous le savez un avis de passage invitant à « venir retirer le colis directement au bureau de poste » le plus proche de l'adresse de livraison. Là, il faut que le cardeur se munisse d'une fausse pièce d'identité, au nom de la victime. Ça a l'air difficile, mais une fois de plus, ça ne l'est pas plus que ça. Toujours sur les markets, et toujours dans la plus absolue illégalité, une carte d'identité se monnaye entre 25 et 100 euros selon la qualité. Les agents des postes étant relativement peu habitués à ce genre d'embrouilles, ils n'y voient, en général, que du feu.

D'autres préfèrent se faire livrer chez des commerçants qui font office de Points Relais, qu'ils jugent encore moins sensibles à la détection de faux papiers. Si vous faites mine d'avoir perdu votre pièce d'identité et n'en présentez qu'une simple photocopie (qu'il est possible de trouver sur les markets pour la modique somme de cinq euros), il y a des chances que certains d'entre eux acceptent de vous délivrer vos colis. En outre, certains Points Relais ne disposent pas de caméras de surveillance – ce qui représente un avantage non-négligeable face aux bureaux de poste, qui en sont systématiquement équipés.

Comme évoqué plus haut, les cardeurs sont nombreux à avoir conscience des risques que présente cette étape. C'est souvent à ce moment que les policiers procèdent à l'interpellation. Ainsi, certains préfèrent sous-traiter la réception des colis, en ouvrant des « boutiques » qui proposent aux clients de carder l'objet de leur choix en échange de 30 à 40 % de sa valeur neuve. Il leur suffit alors de faire deux ou trois grosses commandes par jour pour vivre grassement, sans s'exposer à des poursuites judiciaires.