Plus d'un million de cartes de crédit se retrouvent en ligne sur le dark web

Publié le 11 octobre 2022 à 16h50

Des cartes de crédit encore valables du monde entier ont été mises à disposition des internautes sur le dark web.

BidenCash, une plateforme de vente de cartes de crédit volées sur le dark web, a publié une base de données contenant plus de 1,2 million de coordonnées bancaires, la plupart du temps rattachées à des informations personnelles des victimes.

En libre-service sur le dark web

N'importe qui est donc en mesure de télécharger ce fichier et de tenter de commettre une fraude à la carte bancaire. Les données proviennent de plusieurs fuites et piratages, et ont été récupérées notamment par des logiciels malveillants ciblant les utilisateurs et des attaques contre des sites de commerce en ligne.

Pour son lancement en juin 2022, BidenCash avait déjà rendu publique une liste de plusieurs milliers de cartes de crédit volées à des fins promotionnelles. Cette fois-ci, la fuite est beaucoup plus massive et serait un moyen de mettre en avant la nouvelle adresse URL du service.

Selon les analystes de D3Lab, interrogés par Bleeping Computer, les données divulguées correspondent à de vraies cartes et titulaires de cartes. En revanche, toutes ne sont pas fraîches, et bon nombre d'entre elles ont déjà été leakées par d'autres sources. Environ 30 % des informations pourraient toutefois être inédites, soit dans les 350 000 cartes bancaires sur l'échantillon des 1,2 million de la base de données.

Données bancaires… et personnelles

Une faible part des cartes bancaires rendues publiques devrait être exploitable. Les banques émettrices devraient en avoir bloqué la majorité après avoir détecté une activité frauduleuse. Les informations fuitées peuvent contenir les éléments suivants :

Numéro de carte
Date d'expiration
Numéro CVV
Nom du propriétaire
Nom de la banque
Type et statut de la carte
Adresse, état et code postal du titulaire
Adresse mail
Numéro de sécurité sociale
Numéro de téléphone

Les cartes bancaires concernées expirent entre 2023 et 2026, et proviennent du monde entier. Les États-Unis sont de loin le pays le plus touché. L'Inde et le Brésil font également partie des nations qui souffrent le plus de ce leak. L'Europe est un peu plus épargnée, mais D3Lab confirme que des cartes italiennes sont compromises.

Source : Bleeping Computer

Par Alexandre Schmid

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Articles d'Alexandre Schmid

Données personnelles

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Roster1

Toujours choisir une banque qui propose des carte virtuel pour les paiements

cid1

@Roster1 a écrit :« Toujours choisir une banque qui propose des cartes virtuelles pour les paiements »

Tu parles de ces cartes de crédit rechargeables ? ou c’est autre chose, merci ?

salo86

Non c’est par exemple de créer une carte de crédit virtuelle à numéro unique, dont on a la main mise sur : le montant maximum autorisé sur le numéro, le temps de validité du numéro etc… Comme ils faisaient un temps au crédit mutuel avec « Virtualis ». Comme je ne suis plus chez eux je ne sais pas si c’est toujours le cas…

_Reg24

J’ai configurer l’app liée à la carte pour avoir une notification a chaque transaction, comme ça en cas de truc suspect, je peux la bloquer sur le champ.

Francis7

Les banques demandent une autorisation via SMS avec un code à renvoyer avant de valider un paiement en ligne…La question, c’est est-ce toutes ?

Et puis comme dit @ccvman, ces cartes ne fonctionnent plus assurément.

Pour l’anecdote, je suis déjà tombé sur une application graphique contenant une base de donnée de CB, les milliers et des milliers de cartes. C’est un phénomène qui n’est vraiment pas nouveau. Et puis retour au premièrement : la banque ne valide pas si elle n’a pas votre consentement et puis les transactions peuvent se surveiller sur internet : on peut se faire rembourser, si problème avéré.

MattS32

Normalement les banques dans l’UE supportent toutes le 3DSecure aujourd’hui. Après, ça dépend aussi du commerçant. Par exemple chez les commerçants qui n’ont pas un vrai système de paiement en ligne et tapent le numéro de la CB sur un TPE en mode saisie manuel, pas de validation par SMS.

zoup01

Non, ce n’est pas le cas…
Suivant les commerçants, je suis tombé sur 3 possibilités différentes :

1/ Le classique sms ( en voie de diminution)
2/ rien du tout, le paiement est validé directement ( rare )
3/ une validation par connexion à ta banque sur l’application de ta banque sur le smartphone, auquel cas, tu dois composer ton code d’accès ( boursorama)

Francis7

@MattS32
@zoup01

En effet, cela dépend aussi du commerçant. Cela avait été le cas avec mon ancien assureur auto. Ce n’était pas du tout une fraude mais j’avais été débité 6 fois d’affilé simultanément à cause de leur TPE sur ordinateur. Je n’étais pas le seul dans ce cas. Ils m’ont fait un virement immédiatement après présentation du relevé de compte que l’on peut avoir immédiatement en ligne.

Il faut faire attention aussi aux chèques avec le paiement en plusieurs fois. Même si les chèques sont datés, on peut tomber sur des gens qui ne respectent pas l’accord consenti. Ils peuvent encaisser tous les chèques le même jour et la banque laisse passer puisque les chèques ont été émis, le reste ne les regarde pas. Attention à la surprise. Mais ça se règle facilement sans soucis d’impayé et de chèque rejeté. Chaud !

Garden_Dwarf

Je me suis fait pomper 100 euros en Août cette année sur une Mastercard (5x20). Réponse de Mastercard : le payement a été fait avec une authentification forte, on vous rembourse pas.

Les transactions ont été faites en Ukraine (code indiquant Kiev).

leje

Ou bloquer les paiements par internet lorsqu’on en a pas besoin. Avec l’appli de ma banque je peux débloquer ce type de paiements pour 1 heure, le temps de faire mon achat. Le reblocage se faisant automatiquement, c’est assez pratique.
Les cartes virtuelles sont plus contraignantes je trouve, avec la nécessité d’en recréer souvent (ou accepter de perdre des sommes limitées comme @Garden_Dwarf ) et le problèmes des paiements où tu as besoin de présenter la carte qui a servi au paiement (réservations hôtel, avion…).