Les voleurs de cartes de crédit utilisent des applications gratuites ? comme les jeux Supercell (Clash Royale et Clash of Clans) et Kabam (Marvel Contest of Champions) ? pour blanchiment d’argent. L’analyse a été faite par Kromtech Security, dans le blog de la société de sécurité allemande, et j’explique comment cela peut arriver (et fonctionner !).
En bref, les criminels créent de faux profils pour acheter des objets qui améliorent la performance de l’utilisateur dans le jeu avec les cartes volées. Ensuite, les comptes sont revendus à des joueurs légitimes. Dans la pratique, en achetant des comptes de cardeurs, comme on les appelle, pour des montants moins élevés, les joueurs économisent.
Sommaire
Les mécanismes des jeux gratuits
Si vous avez déjà joué à un free-to-play, vous savez que la plupart d’entre eux ont besoin de ressources pour faire avancer votre personnage vers de nouvelles arènes. Il peut s’agir de pierres précieuses (gemmes), de pièces d’or ou de power-ups, mais ces ressources sont nécessaires pour gagner. La collecte seule est un processus lent qui peut prendre des mois pour se stabiliser.
Nous savons que vous n’avez pas de repas gratuit et c’est avec le “shopping In-App” que les développeurs de jeux gagnent de l’argent. L’accélération de leur progression dans le jeu est une forte incitation à dépenser pour des “biens virtuels”. Croyez-moi, beaucoup de gens dépensent beaucoup d’argent pour cela. Assez pour transformer les jeux gratuits en une industrie de plusieurs milliards de euros et les jeux Battle Royale pour Android et iOS (iPhone) en une fièvre.
En sommes-nous arrivés au point où les machines à laver sont allumées ? De l’argent avec des jeux.
Revente de comptes et de biens virtuels
Beaucoup de ces “biens virtuels” conservent leur valeur après l’achat. Une fois achetées, les ressources peuvent toujours être échangées avec d’autres joueurs. Le jeu (historique de progression) peut également être transféré et, de ce fait, les ressources acquises ou achetées, portant la progression du jeu à des niveaux très avancés, peuvent également être revendues. C’est cette vente qui ouvre les portes aux activités illicites.
En 2018, des chercheurs ont découvert une étrange base de données exposée à tout le monde, sans mot de passe ni login, sur MongoDB, une plateforme open-source, comprenant des numéros de cartes de crédit (volés ou clonés).
Selon les estimations, le système a traité environ 20 000 cartes de crédit volées en seulement 1,5 mois (de la fin avril à la mi-juin 2018).
Toute l’escroquerie utilisait un système automatisé complexe comprenant des jeux gratuits, des sites de revendeurs de produits et des pages Facebook pour blanchir l’argent provenant du clonage de cartes de crédit. En théorie, il n’y a rien pour l’arrêter. Pour pouvoir acheter des objets dans les jeux, il suffit de disposer de très peu d’informations. Un courriel, une date de naissance, un nom et d’autres données (toutes fausses) et des informations sur la carte de crédit.
Quels sont les jeux utilisés pour blanchir de l’argent ?
Les jeux les plus attrayants pour les criminels n’étaient que trois : deux de Supercell (Clash of Clans et Clash Royale) et un de Kabam (Marvel Contest of Champions). Le système a rassemblé plus de 250 millions d’utilisateurs, générant environ 330 millions de euros par an.
La société note que les jeux n’étaient pas les plus populaires et que l’extension de ce système à d’autres applications fait croître le marché potentiel de plusieurs milliards de euros par an. Ces jeux proposent de nombreuses offres d’achat et de vente de comptes sur des sites comme g2g.com.
Dans ces derniers, il est également facile de créer automatiquement des comptes à grande échelle. Grâce au processus automatisé de création de compte, le système changeait automatiquement les numéros de carte jusqu’à ce qu’il en trouve un valable, disposait de robots pour acheter des ressources, publiait automatiquement les articles en vente sur les sites web, travaillait avec un seul portefeuille numérique pour le traitement des commandes et gérait plusieurs téléphones portables pour la comptabilité.
Le résultat final a été un outil de blanchiment d’argent automatisé pour les voleurs de cartes de crédit. Le système a utilisé des comptes Apple ID, dont la création nécessite une adresse électronique valide, un mot de passe, une date de naissance et trois problèmes de sécurité. Les comptes de messagerie électronique ne nécessitent pas non plus de vérification de la part des fournisseurs.
Risque de perdre le compte et d’être volé
Les entreprises concernées luttent contre l’exploitation de leurs plates-formes et de leurs jeux et ont des politiques visant à interdire l’utilisation irrégulière des identifiants, mais cela ne semble pas suffisant. Supercell, la société à l’origine de Clash of Clans et de Clash Royale, affirme qu’en conséquence d’une mauvaise conduite : l’achat de pierres précieuses ou de diamants auprès de “vendeurs tiers” peut entraîner la révocation de la monnaie dans le jeu et même faire interdire définitivement votre compte dans le jeu sans préavis ni assistance.
Les fabricants de gibier mettent également en garde :
Dans une variante de l’action illégale, les sites web et les particuliers peuvent proposer des articles de shopping “In-App” à des prix plus avantageux. Mais le bon marché peut coûter cher. Ils demandent des données de connexion et des mots de passe comme l’identifiant Apple et les identifiants Google Play pour accéder à leur compte de jeu et faire des achats avec des cartes de crédit volées. En faisant cela, vous donnez accès à votre compte et souvent il peut être volé et revendu à d’autres joueurs.
Donc, n’achetez pas, ne vendez pas et ne vous impliquez pas dans la “violation” des règles des jeux.
