Un hacker divulgue une liste de données bancaires

Un hacker divulgue une liste de données bancaires

Les chiffres, les dates de validité et les CVV de plus d’un million de cartes bancaires sont librement accessibles en ligne. Objectif pour le hacker : faire la pub de sa boutique clandestine

Pour promouvoir sa boutique en ligne clandestine, un hacker a publié gratuitement sur le web une liste d’un million de coordonnées bancaires. Ces informations concernent des titulaires du monde entier, dont 40 000 Français. Cette liste a été découverte par Damien Bancal, spécialiste en cybersécurité et créateur du site spécialisé Zataz, explique Phonandroid.

On y retrouve les 16 chiffres des cartes de paiement, leur date de validité, le CVV (criptogramme visuel), l’adresse postale, l’adresse électronique, l’identité du propriétaire… Parfois même des numéros de téléphone ou des adresses IP. D’après le voleur, les données proviennent de cartes bancaires piratées en 2018 et 2019. « Celles-ci sont encore valides entre 2021 et 2027 ». En tout, plusieurs dizaines de pays sont concernés.

Le hacker souhaite ainsi amener des clients potentiels vers sa boutique en ligne qui propose plus de 2,6 millions de cartes bancaires. Elles sont vendues aux alentours de 5 euros pièce. Le hacker n’a pas précisé comment il avait réussi à se procurer ces informations habituellement confidentielles. Elles n’ont pour le moment jamais été exploitées par un individu malintentionné.

 

Origine incertaine

Si le hacker se permet de mettre à disposition gratuitement autant de données, c’est pour attirer des consommateurs potentiels. Le vendeur fait la publicité de son stock de 2,6 millions de cartes bancaires, qu’il revend à l’unité «aux alentours de 6 dollars US pièce (5 euros)».

Il est difficile d’identifier la provenance de ces données, selon les informations fournies par le hackeur, elles ont été collectées entre 2018 et 2019. Il est possible que la personne derrière ces ventes ne soit que revendeuse de données, comme c’est fréquemment le cas. Un hacker met à disposition une base de données, achetée par une autre personne qui peut ensuite la mettre elle-même en vente… Un procédé assez courant.

Ces derniers mois un hacker a, par exemple, tenté de revendre une base de données datant du «Leak Apollo». Une fuite gigantesque datant de 2018, où les données de 10 millions de Français se sont retrouvées en ligne. Des données anciennes, pourtant présentées comme neuves.

David Sygula, expert en cybersécurité pour CybelAngel, expliquait alors qu’il est «assez fréquent dans l’univers cybercriminel» que des utilisateurs s’approprient une ancienne fuite de données. Ceux-ci tentent souvent de les vendre en leur nom, y compris quand celles-ci sont encore trouvables gratuitement.

Explosion du phishing bancaire

Le vol de données bancaires peut par exemple passer par la technique très connue du phishing qui consiste à usurper l’identité d’une marque ou d’une organisation connue pour inciter la victime à lui fournir des données personnelles. Il y a quelques semaines, cybermalveillance.gouv.fr, le dispositif national d’assistance aux victimes d’attaques informatiques, a alerté dans un communiqué sur une explosion du phishing bancaire.

 

Une flambée des cyberattaques en 2020

Les attaques informatiques ont connu une recrudescence avec l’arrivée du Covid-19 qui a propulsé considérablement le secteur du numérique l’année dernière.

En 2020, plus de 18 millions de Français ont été victimes de cybercriminalité. 44% des Français se sentent également plus vulnérables à cette délinquance qu’avant la pandémie, indique le rapport Cyber Safety Insights 2021 de Norton publié en avril.

Les pertes financières liées à ces vols s’élèveraient à près de 2,7 milliards d’euros, selon le rapport.

Plus de 100.000 demandes d’assistance

En effet, la plateforme Cybermalveillance.gouv.fr a enregistré une hausse de 155% de sa fréquentation par rapport à 2019, soit plus de 1,2 million de personnes ayant consulté ses contenus et ses alertes. Les premières semaines de confinement au printemps 2020 ont été marquées par un pic de visites de près de 600%.

Selon le site Vie publique, près de 105.000 personnes ont demandé de l’assistance sur la plateforme en 2020. L’hameçonnage (une méthode visant à obtenir du destinataire d’un courriel d’apparence légitime qu’il transmette ses coordonnées bancaires ou ses identifiants de connexion à des services financiers) est parmi les recherches d’assistance les plus demandées (17%).

 

Sébastien