Lancé en 2017, Genesis est devenu en quelques années la marketplace de référence pour l’achat-revente d’empreintes numériques et d’identités digitales volées. En 2020, Genesis représentait 65% des mentions sur les forums de cybercriminels spécialisés dans l’utilisation malicieuse d’empreintes digitales.
Alors que d’autres plateformes ont disparu au fil des années (exit scams, arrestations, etc), Genesis Market continue de se développer grâce à un modèle de sécurité hautement professionnel (accès par invitation uniquement) et également grâce à une présence aussi bien sur le darkweb que sur le clearweb.
Sur HazelFinTech, nous mettons souvent en garde contre le data mining permanent des compagnies globalistes du monde de la technologie. Mais il faut garder à l’esprit que Google ou Facebook sont loin d’être les seuls à en vouloir à vos données personnelles.
Les empreintes digitales sont les informations relatives à l’identité numérique d’un individu, et plus exactement de l’un de ses comptes en ligne : ceci inclut par exemple, le nom d’utilisateur et le mot de passe, mais également d’autres identifiants tels que les cookies de navigateur, les adresses IP, les user-agent strings et d’autres détails relatifs au système d’exploitation utilisé par l’individu.
Jadis, les acteurs malicieux devaient obtenir ces empreintes digitales de façon quasiment artisanale, jusqu’à ce que Genesis arrive. Les cybercriminels utilisent ces empreintes digitales pour extrapoler les informations de connexion du compte, les informations d’accès bancaire ou pour contourner les barrières anti-fraude soit pour une exploitation personnelle, soit pour revendre ces informations à d’autres criminels.
Genesis Market compte 374 401 listes de « robots » (profils digitaux) de 218 pays à travers le monde, comme on peut le voir sur le graphique ci-dessous. On peut voir que les pays les plus touchés par le vol d’identités numérique sont l’Italie, la France, l’Espagne, la Turquie ou encore le Portugal. On pourrait être surpris de voir que les USA ou le Royaume-Uni semblent relativement moins concernés par le trafic.
Selon les chercheurs de Digital Shadows, ceci s’explique pour des questions économiques et pratiques. Tous les profils digitaux n’ont évidemment pas la même valeur :
« Les robots des États-Unis sont les plus chers– jusqu’à 287 $ dans certains cas. Le prix varie également selon le type de connexion. Ceux qui ont des logins bancaires et e-mail ont tendance à atteindre des prix plus élevés que les autres. Windows 10 semble être le système d’exploitation le plus populaire. »
Chaque fois que nous entrons nos informations pour réaliser une transaction en ligne ou pour nous connecter à notre compte bancaire en ligne, des solutions anti-fraude avancées analysent la correspondance de la connexion avec ce qu’on appelle un masque numérique. Ces masques sont uniques à chaque utilisateur et combinent les empreintes digitales des appareils et des navigateurs couramment utilisés par celui-ci pour effectuer des paiements ou pour se connecter à sa banque en ligne. Ce masque numérique contient généralement les informations suivantes (liste non exhaustive) :
- Adresse IP (externe et locale)
- Informations d’écran (résolution, taille de l’écran)
- Version du firmware
- Type et version du système d’exploitation
- Plugins présents sur le navigateur
- Fuseau horaire
- Identifiant de l’appareil utilisé
- Information relative à la batterie
- Empreinte du système audio
- Information GPU
- WebRTC
- Empreinte digitale TCP/IP
- Analyse passive SSL/TLS
- Cookies
Les systèmes anti-fraude des institutions financières utilisent ces empreintes digitales pour déterminer si la personne qui tente de se connecter ou de réaliser une transaction est bien le propriétaire du compte en question, ou s’il s’agit en fait d’un carder essayant d’acheter des marchandises à l’aide d’une carte volée. Par ce travail comparatif, les systèmes anti-fraude des institutions financières peuvent approuver ou refuser la transaction, ou requérir une analyse plus approfondie .
Cependant, le masque numérique peut être copié ou créé à partir de zéro. Les cybercriminels utilisent activement ces « sosies numériques » pour contourner les systèmes anti-fraude avancées.
Selon Sergey Lozhkin, chercheur en sécurité chez Kaspersky Lab :
“Nous voyons une augmentation nette de la fraude par cardage dans le monde entier. Alors que l’industrie investit massivement dans les mesures antifraude, les sosies numériques sont difficiles à combattre. Une autre façon de prévenir la propagation de cette activité malveillante est de s’attaquer à l’infrastructure des fraudeurs. C’est pourquoi nous exhortons les services de police à travers le monde à accorder une attention supplémentaire à cette question et à se joindre à la lutte. »
D’autres outils permettent aux attaquants de créer à partir de zéro leurs propres masques numériques uniques qui ne déclencheront pas de solutions anti-fraude. Par exemple, le navigateur Tenebris dispose d’un générateur de configuration intégré permettant de créér des empreintes digitales uniques. Une fois l’empreinte digitale configurée, le carder peut simplement utiliser ce masque numérique via un proxy et effectuer toutes les opérations en ligne au nom de la victime.
Lire l’enquête de F5 sur Genesis Market.
Lire l’étude complète sur le site de Digital Shadows.