remplir un chariot pour quelques euros ?

Black market : remplir un chariot de courses pour quelques euros ?

Posted On 17 Oct 2018

Tag: banque, chariot, faire ses courses, filoutage, hameçonnage, infiltration, Internet of Things, pas cher, quelques euros, vente

Remplir un chariot de courses pour quelques euros ! Le business pirate peut avoir des formes multiples sur les Internets. L’un de ces moyens malveillants de faire des « affaires », vendre des achats chez E.Leclerc, Super U, Auchan et autre Carrefour à des prix défiants toutes concurrences.

Remplir un chariot de courses pour quelques euros ? Vraiment ? Plusieurs lecteurs de ZATAZ m’ont fait état d’une étonnante demande de la part de leur enseigne respective E.Leclerc. Il leur a été demandé de modifier le mot de passe de leur carte client. Des lecteurs basés à Nantes, Bergues ou encore la région parisienne. « La personne qui s’est chargé de cette modification, à l’accueil, m’a indiqué qu’il s’agissait d’un problème de sécurité nationale« . L’interlocutrice n’en dira pas plus. Fait étonnant, au moment de cette demande de modification, le site E.Leclerc, et son espace client dédié à la modification « de votre code secret » était en panne. J’ai interpellé par mail et sur Twitter le service communication de l’enseigne. Pas de réponse.

Dis @ELeclercLimoges @ELeclercSezanne @ELeclerc_Breau la société va-t-elle communiquer (ou pas) sur le problème visant les cartes clients et, je cite un personnel Accueil #ELeclerc "Suite à un pbm de sécurité à l'échelle nationale" ? @LeclercBonPlan #BonPlan #MoinsCher #ELeclerc pic.twitter.com/r016R70Oj1

— Damien Bancal (@Damien_Bancal) October 1, 2018

Ce mutisme m’a donc incité à me pencher sur ce qui a bien pu se passer chez E.Leclerc. Piratage ? Bug ? ou alors, tentative de bloquer des pirates aux business étonnamment juteux. Permettre de remplir son chariot pour 50%, 70% moins chers qu’en caisse. Mais comment est-ce possible ? Explication.

Blanchiment de CB piratées

Qu’il se nomme E.Leclerc, Carrefour, Super U, Auchan, des pirates proposent dans des black markets des options que n’avaient pas prévues les enseignes de la grande distribution. « Faites vous courses chez Leclerc pour 40% du montant initial » indique un vendeur. « Vos courses chez Carrefour Drive, pour 1/4 du prix. Votre panier est officiellement de 400€. Vous ne payez que 100€ » propose un autre de ces étranges commerçants cachés dans le dark net. Mais comment est-ce possible ?

D’abord, par le blanchiment de cartes bancaires piratées. Le « vendeur » récupère du cash via les clients intéressés par son business. Le commerce officiel se retrouve avec une commande de 400€. Le pirate paie la transaction avec des données piratées. Il n’a plus qu’à récupérer les 100€ de son darknaute. Celui qui veut acquerir le contenu du chariot. Bilan, Auchan, Carrefour, Super U, E.Leclerc, … se retrouvent avec 400€ de produits perdus. Le pirate vient de blanchir une donnée bancaire piratée (100€) qu’il a pu acquérir dans l’une des très nombreuses boutiques « shop » dédiées qu’il est possible de croiser dans le black market.

Cagnotte de vrais clients

L’autre méthode, il en existe plusieurs autres, est de mettre la main sur les cagnottes de vrais clients. Aussi étonnant que cela puisse paraitre, cette cagnote piratée peut se revendre. Dans ce cas, le pirate peut y avoir accès après une campagne de phishing bien ciblée. Bilan, il a accès à l’identifiant de connexion et utiliser cette cagnotte, ou la revendre. Comme ce fût le cas pour Intermarché, en mai 2018. Le phishing, l’hameçonnage de données, ne sert pas obligatoirement à mettre la main sur vos données bancaires. Accéder à votre compte client permet biens des malveillances pour un pirate. Espionnage, usurpation, revente, achat, … Attention aussi aux applications dans vos smartphones. Comprenez bien que choisir un mot de passe sérieux n’est pas un gadget. Si le pirate a votre mot de passe. Il installe l’application sur un téléphone de son choix. Bien évidement, pas son téléphone. Il n’a plus qu’à rentrer le mot de passe de votre compte. Il aura accès, par exemple, au QRCode qui lui ouvrira la commande, via la borne d’un drive, que vous deviez aller chercher en fin de journée !

La restauration rapide aussi concernée

En décembre 2015, je vous présentai « FastFoodator« . Un site qui donnait rapidement le ton : vous remplir le bide sans vous ruiner. L’idée, faire des commandes chez KFC, McDo, Quick et autres boutiques de restauration rapide et ne payer que quelques pièces. Via un “shop” dédiée, le client achète des crédits à un pirate. Par exemple, 8€ en bitcoins donne la possibilité d’acheter pour 30€ d’hamburgers chez McDonald. 12€ permet d’acheter pour 100€ chez AlloResto.

Les risques ?

En plus d’escroquer des données bancaires de personnes qui n’en demandaient pas tant, les clients de ce type de business pirates risquent gros. En janvier 2016, je vous expliquais comment trois personnes avaient été arrêtées, dans le Nord de la France, par les autorités. Ils avaient été cueillis par « La main noire » de la justice alors qu’ils venaient retirer des marchandises dans le Auchan Drive de la Ville de Roncq (59). Les escrocs de ce business du « faites vos courses pour pas cher » ne savaient pas que la carte bancaire utilisée appartenait à une personne vivant à plus de 1 000 Kms du Drive utilisé. C’est d’ailleurs pour cela que des boutiques pirates de cartes bancaires proposent aujourd’hui de choisir la marque de la CB piratée, mais aussi le pays, la ville, et pour certains, la boutique qui permet l’utilisation du moyen de paiement volé.

Pour les vrais clients, comme indiqué plus haut, attention à vos mots de passe et au mail que vous pouvez recevoir.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.