Try2check.me, le maillon fort

Son nom est inconnu, mais Try2check.me assure une fonction essentielle dans le marché noir des numéros de cartes bancaires piratés. Il permet en effet d’instaurer la confiance entre vendeurs et acheteurs. Comment ? Tout simplement en vérifiant que chaque donnée vendue est réellement valide, c’est-à-dire que le numéro de carte bancaire existe, qu’il fonctionne et qu’il n’a pas encore été bloqué par la banque émettrice.

Dans le jargon cybercriminel, Try2check.me est-ce que l’on appelle un checker.

Son travail est colossal, car la majorité des vendeurs l’utilisent et l’apprécient, ce qui lui vaut d’être une réelle référence dans le milieu. Ainsi, combien de numéros volés peuvent transiter chaque jour par ce site underground ? Probablement des milliers, mais il serait difficile d’établir des estimations chiffrées avec certitude. Cependant, sachant qu’en France deux fraudes à la carte bancaire sont relevées chaque minute sur des sites d’e-commerce[1], il est possible d’imaginer les flux colossaux de numéros volés transitant sur la Toile.

Inutile de chercher ce site sur le web, toutes les mesures ont été prises par son administrateur afin d’échapper aux autorités et aux attaques DDOS. Invisible, le site officiel pointe sur un serveur Google comme l’indique une recherche effectuée sur le nom de domaine principal.

En effet, pour se protéger, un sous-domaine et un port unique sont attribués à chaque utilisateur qui se connecte dès lors au site sur une URL qui lui est propre. Les URLs en question sont construites sur ce modèle :

84da32fdds881a6.try2check.me :4875

Enfin, les inscriptions s’effectuent uniquement par recommandation d’un membre préalablement inscrit.

Si le sous domaine et le numéro de port ne correspondent pas, un message d’erreur est automatiquement affiché.

Techniquement, comment Try2check.me peut-il vérifier la validité d’autant de données bancaires simultanément ?

Pour mener à bien cette mission, le ou les administrateurs ont préalablement piraté un nombre conséquent de comptes d’e-marchands (par exemple, un compte fourni par le prestataire de paiement pour certifier de la validité d’un numéro de carte bancaire lors d’une commande via une API ou un webservices). Ensuite, un système de rotation a été mis en place afin que chaque donnée bancaire passe aléatoirement sur l’un de ces comptes piratés afin que celui-ci « teste » la carte pour savoir si un achat de quelques dollars pourrait être supporté. Si oui, la carte est valide. Si le résultat est négatif, le numéro de carte bancaire n’a aucune valeur, il ne peut être vendu et, s’il a déjà été acquis sur le marché noir, il devra faire l’objet d’un remboursement. Ces demandes d’autorisations peuvent être répétées à l’infini sans jamais demander la collecte de fonds ensuite.

Exemple ci-dessous de données bancaires « testées » en temps réel. Il est possible de réaliser ces essais sur un compte marchand piraté d’une zone géographique précise, afin de ne pas éveiller la suspicion de la banque. Sur chaque opération, Try2Check.me demande à sa clientèle de s’acquitter de 0,30$ à 0,50$.

Mettre fin aux activités de Try2check.me serait un véritable défi pour les autorités eu égard à son mode de fonctionnement complexe, mais une telle action serait significative, car le marché noir serait immédiatement perturbé. De nombreux sites underground sont en effet reliés à ce dernier et ne peuvent fonctionner sans lui. Mis à l’arrêt forcé, il deviendrait impératif pour eux de trouver un checker de remplacement pouvant supporter le traitement d’autant de données simultanément et de façon automatisée. Il en existe très peu de similaires… Try2check.me serait-il la nouvelle cible à abattre ?

Note

[1] Selon un article de l’UFC Que Choisir de février 2012.

CERT-XMCO

Découvrir d'autres articles