Le marché noir du cyber-crime n’est pas nouveau mais il était traditionnellement centré sur la vente de numéros de cartes de cartes bancaires dérobés à des internautes du monde entier. Ce marché s’est diversifié en 2010 avec l’arrivée d’un plus vaste éventail de produits illégaux proposés à la vente : nombreuses informations bancaires, identifiants et mots de passe, fausses cartes de crédit, etc. Comme PandaLabs l’a découvert, bien que les pirates fassent publiquement la promotion de leurs services sur des forums et salons de chat, il est nécessaire de les contacter personnellement pour aller plus loin.

Mode de commercialisation

Une fois les identifiants bancaires des victimes obtenus, les criminels peuvent facilement ponctionner une carte de crédit ou un compte bancaire, bien avant que le vol d’information ne soit découvert. Et ces identifiants bancaires se vendent à partir de 2$ seulement… Pour ce prix là, le vendeur n’apporte que peu de garanties : il ne fournit aucune autre information ni ne vérifie le solde du compte. Pour les acheteurs souhaitant davantage de garanties ou d’informations, par exemple le solde du compte ou le découvert autorisé, le prix augmente et varie de 80$ pour un compte avec un solde modique jusqu’à 700$ pour les comptes avec un solde garanti de 82.000$.

Le prix est plus élevé lorsque le compte a déjà servi à des achats en ligne ou a déjà été utilisé sur des plateformes de paiement telles que Paypal. PandaLabs a trouvé des prix allant de 10$, pour un simple compte sans solde garanti, à 1.500$, les tarifs augmentant suivant la plateforme ou le montant des fonds garantis. Les cyber-criminels proposent également sur ces réseaux des copies de cartes bancaires (à partir de 180$), des appareils à dupliquer les cartes de crédit (entre 200$ et 1.000$) et même des faux distributeurs de billet (à partir de 3.500$ suivant le modèle). Des produits complémentaires sont proposés, par exemple des services de blanchiment d’argent (transfert bancaire ou encaissement de chèques) contre des commissions oscillant entre 10 à 40% du montant. Si les acheteurs veulent utiliser les informations bancaires pour acheter en ligne des marchandises mais craignent d’être localisés par l’adresse de livraison, les cyber-criminels proposent également l’achat et la réexpédition des marchandises contre un montant variant entre 30$ et 300$ suivant la nature du produit.

Certains cyber-criminels plus aguerris souhaitent disposer de leur propose fausse boutique en ligne et obtenir directement les identifiants bancaires de leurs victimes ainsi que l’argent payé par ceux-ci pour des produits factices qu’ils ne recevront (des faux antivirus, par exemple). Pour eux, ce grand supermarché du crime en ligne propose également un service clés en main de conception, développement et mise en ligne de fausses e-boutiques, incluant même le référencement dans les moteurs de recherche. Dans ce cas, le prix dépend de la nature du projet.

Les tarifs pour la location de « botnets » (réseaux de PC infectés qui sont contrôlés à distance) pour envoyer du spam varient en fonction du nombre d’ordinateurs utilisés, de la fréquence d’envoi des courriers indésirables ainsi que de la durée de location. Les prix pour la location d’un serveur SMPT ou d’un VPN garantissant l’anonymat s’échelonnent entre 15$ et 20$.

Un marché très lucratif

Le marché noir du cyber-crime fonctionne comme n’importe marché, selon la loi de l’offre et de la demande. En raison de la grande concurrence entre les pirates, des prix compétitifs sont proposés, avec même des remises sur volume. Les vendeurs offrent même souvent des versions d’évaluation (l’accès à quelques cartes bancaires en démo), l’échange gratuit ou un service « satisfait ou remboursé ».

Le marché noir du cyber ?crime présente, bien évidemment, quelques particularités, s’agissant d’activités illégales. L’anonymat des interlocuteurs étant de la plus haute importance, de nombreux vendeurs se dissimulent derrière des forums underground qu’ils utilisent pour la prise de contact avec leurs acheteurs. Leur « bureau », c’est Internet. Certains vont jusqu’à mettre leurs « horaires d’ouverture ». D’autres sont plus audacieux et ont carrément créé des comptes Facebook ou Twitter qui servent de vitrine à leurs activités illicites. Pour assurer l’anonymat des acheteurs et des vendeurs, le contact et les échanges se font via des logiciels de messagerie instantanée ou des comptes webmail gratuits.

Une fois le contact établi, la transaction est effectuée directement ou via le site web mis en place spécialement par l’acheteur. Sur ces véritables boutiques en ligne du crime, les acheteurs peuvent, une fois leur nom d’utilisateur et leur mot de passe entrés, parcourir les différentes offres et faire leur choix en remplissant leur panier, comme dans n’importe quelle e-boutique. Le paiement s’effectue toujours par avance via des services de type Western Union, Liberty Reserve ou WebMoney.