La cyberpolice indonésienne, conjointement avec Interpol et Group-IB, a annoncé l'arrestation de criminels qui ont infecté des renifleurs JavaScript, une forme populaire de code malveillant, par des centaines de magasins en ligne en Australie, au Brésil, au Royaume-Uni, en Allemagne, en Indonésie, aux États-Unis et dans d'autres pays du monde. Parmi les victimes figurent des utilisateurs russes et ukrainiens. Les criminels ont volé les détails des cartes bancaires aux acheteurs et les ont utilisés pour acheter des gadgets et des produits de luxe. La liquidation de ce criminel de ce groupe a été la première opération réussie contre les opérateurs de renifleurs JS dans la région Asie-Pacifique (APAC).
L'opération conjointe Night Fury of Indonesia's cyberpolice, INTERPOL's ASEAN Cyber Capability Desk (ASEAN Desk) et Group-IB's Investigation Department at APAC a été menée en décembre 2019, ce qui a entraîné l'arrestation de trois Indonésiens âgés de 23 à 35 ans. Tous ont été accusés d'avoir volé des données électroniques à l'aide de renifleurs GetBilling. L'opération se poursuit dans 5 autres régions de la région Asie-Pacifique.
Pour la première fois, la famille de renifleurs GetBilling a été décrite dans un rapport du groupe IB sur la
criminalité sans punition en avril 2019. Les renifleurs JavaScript sont un type populaire de code malveillant utilisé dans les attaques contre les magasins en ligne pour voler les données personnelles et de paiement des clients: numéros de carte bancaire, noms, adresses, identifiants de connexion, numéros de téléphone et données utilisateur des systèmes de paiement. Les experts de Threat Intelligence Group-IB suivent la famille GetBilling JS-sniffer depuis 2018. Une analyse de l'infrastructure contrôlée par les opérateurs GetBilling arrêtés en Indonésie a montré qu'ils étaient en mesure d'infecter près de 200 sites Web en Indonésie, Australie, Europe, États-Unis, Amérique du Sud et certains autres pays.
Empreinte indonésienne
L'année dernière, l'équipe d'enquête du groupe IB a constaté qu'une partie de l'infrastructure de GetBilling était déployée en Indonésie. Le bureau ASEAN d'INTERPOL a rapidement informé la cyber-police indonésienne à ce sujet. Malgré le fait que les opérateurs de renifleurs GetBilling ont tenté de cacher leur emplacement, par exemple, les criminels ont toujours utilisé un VPN pour se connecter au serveur pour collecter les données volées et contrôler le renifleur, et seules les cartes volées ont été utilisées pour payer l'hébergement des services et l'achat de nouveaux domaines, experts du Groupe IB Avec les policiers locaux, ils ont réussi à rassembler des preuves que le groupe travaillait en Indonésie, puis à poursuivre eux-mêmes les suspects.
"Dans le monde numérique d'aujourd'hui, les cybercriminels adoptent très rapidement des technologies de pointe afin de dissimuler leurs activités illégales et de voler de grandes quantités de données personnelles à des fins d'enrichissement financier", a déclaré
Craig Jones, directeur des enquêtes sur la cybercriminalité à INTERPOL . «Afin de garantir que les autorités chargées de l'application des lois aient accès aux informations nécessaires pour lutter contre la cybercriminalité, un partenariat solide et fructueux entre la police et les experts en sécurité de l'information est nécessaire.»
Exemple de script malveillant GetBilling
Un exemple d'enregistrement de vol de paiement et de données personnelles stockées sur les serveurs GetBilling.
«Cette affaire démontre clairement la portée internationale de la cybercriminalité: les opérateurs JS-sniffer vivaient en Indonésie, mais ont attaqué les ressources du commerce électronique dans le monde, ce qui a compliqué la collecte de preuves, la recherche de victimes et les poursuites judiciaires», a déclaré
Vesta Matveeva , chef du département des enquêtes sur les incidents de sécurité des informations. Groupe APAC-IB . «Cependant, la coopération internationale et le partage de données peuvent aider à contrer efficacement les cybermenaces actuelles.» Grâce aux opérations de la cyber police indonésienne et d'Interpol, Night Fury a été la première opération internationale réussie contre les opérateurs de renifleurs JavaScript dans la région APAC. Il s'agit d'un excellent exemple de lutte transfrontalière coordonnée contre la cybercriminalité, et nous sommes fiers que les résultats de notre enquête sur les menaces, la compréhension des régimes criminels et de leur enquête, ainsi qu'une enquête médico-légale sur les données par des spécialistes du Groupe IB aient aidé à identifier les suspects. Nous espérons que cette affaire créera un précédent pour l'application de la loi dans d'autres juridictions. »
Au cours de la perquisition, la police a saisi des détenus des ordinateurs portables, des téléphones portables de divers fabricants, des processeurs, des cartes d'identité et des cartes bancaires. Selon l'enquête, les données de paiement volées ont été utilisées par les suspects pour acheter des gadgets et des produits de luxe, qu'ils ont ensuite revendus sur des sites indonésiens en dessous de leur valeur marchande. Les suspects ont déjà été accusés de vol de données électroniques - selon le code pénal indonésien, ce crime est passible d'une peine d'emprisonnement pouvant aller jusqu'à dix ans. L'enquête est en cours.
«La coordination des efforts entre la cyberpolitique indonésienne, Interpol et le Groupe IB a permis d'attribuer des crimes, d'identifier les criminels qui ont utilisé des renifleurs et de les arrêter», a déclaré le surintendant de la police indonésienne
Idam Vasiyadin . «Mais plus important encore, il a aidé à protéger des personnes innocentes et à sensibiliser le public à la question de la cybercriminalité et de ses conséquences.»
Les renifleurs lèvent la tête
Selon le rapport annuel de High-Tech Crime Trends Group-IB pour la période H2 2018 - S1 2019, le nombre total de cartes bancaires compromises téléchargées sur des forums clandestins dans le monde est passé de 27,1 millions à 43,8 millions. Dumps - une copie des informations magnétiques voies - représentent toujours l'essentiel du marché du cardage, leur nombre a augmenté de 46%. La vente de données textuelles (nombre, CVV, durée de validité) est également en hausse, leur croissance est de 19%. Aux États-Unis, les fuites les plus massives de données de cartes bancaires sont associées à un commerce de détail compromis. En termes de nombre de cartes compromises, les États-Unis arrivent en tête avec une large marge - 93%.
L'une des raisons de l'augmentation du volume de données texte volées était les renifleurs JS. Au printemps 2019, dans un rapport du groupe IB
«Crime without Punishment», son auteur,
Viktor Okorokov , analyste du groupe IB, a énuméré 38 familles de renifleurs JS. Depuis lors, le nombre de familles de renifleurs JS découvertes par l'entreprise a presque doublé et continue de croître. Leurs victimes sont déjà devenues les sites de British Airways, le géant international du sport FILA. Plus récemment, en décembre 2019, des renifleurs JS sont entrés dans la région APAC, infectant les sites de la marque de mode singapourienne Love, Bonito.
Pour éviter les pertes financières dues aux renifleurs JS, les spécialistes du Groupe IB recommandent aux utilisateurs en ligne de créer une carte bancaire distincte ou même un compte bancaire séparé pour les paiements en ligne, de fixer des limites sur les coûts des cartes. Les propriétaires de boutiques en ligne, à leur tour, doivent régulièrement mettre à jour le logiciel et effectuer des audits et des évaluations de cybersécurité de leurs ressources Web.
Group-IB sait tout sur la cybercriminalité, mais raconte les choses les plus intéressantes.
La chaîne Telegram pleine d'action (https://t.me/Group_IB) sur la sécurité de l'information, les pirates et les cyberattaques, les hacktivistes et les pirates Internet. Enquêtes sur la cybercriminalité sensationnelle par étapes, cas pratiques utilisant les technologies du Groupe IB et, bien sûr, recommandations sur la façon d'éviter de devenir une victime sur Internet.
Photowire Group-IB sur Instagram
www.instagram.com/group_ibNouvelles brèves Twitter
twitter.com/GroupIBGroup-IB est l'un des principaux développeurs de solutions pour détecter et prévenir les cyberattaques, détecter les fraudes et protéger la propriété intellectuelle dans un réseau dont le siège est à Singapour.