Une méthode traditionnelle pour extraire de l’argent des cartes de crédit volées implique des escroqueries de « réexpédition », qui gèrent l’achat, la réexpédition et la revente de biens de consommation avec carte depuis l’Amérique vers l’Europe de l’Est – principalement la Russie. Une nouvelle étude suggère que quelque 1,6 million de cartes de crédit et de débit sont utilisées chaque année pour commettre au moins 1,8 milliard de dollars de fraude en matière de réexpédition, et identifie certains points d’étranglement pour perturber cette activité lucrative de blanchiment d’argent.
De nombreux détaillants ont depuis longtemps cessé d’autoriser les expéditions directes de biens de consommation des États-Unis vers la Russie et l’Europe de l’Est, invoquant le taux élevé de transactions frauduleuses pour les biens destinés à ces régions. En conséquence, les fraudeurs ont perfectionné le service de réexpédition, une entreprise criminelle qui permet aux voleurs de cartes et aux opérateurs de services de partager essentiellement les bénéfices des marchandises commandées avec des cartes de crédit et de débit volées.
Source : document de recherche Drops for Stuff.
Une grande partie des informations contenues dans cette histoire proviennent d’une étude publiée la semaine dernière intitulée «Drops for Stuff : une analyse des escroqueries de réexpédition de mules», qui compte plusieurs contributeurs (dont cet auteur). Pour mieux comprendre le système de réexpédition, il est utile d’avoir un aperçu rapide de la terminologie utilisée par les voleurs pour décrire les différents acteurs de l’arnaque.
L’« opérateur » du service de réexpédition se spécialise dans le recrutement de « mules de réexpédition » ou de « gouttes » – essentiellement des consommateurs involontaires aux États-Unis qui sont enrôlés dans le cadre d’escroqueries liées au travail à domicile et qui ont promis jusqu’à 2 500 $ de salaire par mois simplement pour recevoir et réexpédition des colis.
Dans la pratique, pratiquement toutes les livraisons sont effectuées environ 30 jours après leur première expédition, juste avant l’échéance du chèque de paie promis. En raison de ce roulement constant, l’opérateur doit constamment recruter de nouvelles recrues.
L’opérateur vend l’accès à son écurie de dépôts à des voleurs de cartes, également appelés « bourreurs ». Les vendeurs utilisent des cartes volées pour acheter des produits de grande valeur auprès de commerçants et demandent à ces derniers d’expédier les articles à l’adresse du lieu de dépôt. Une fois que les transporteurs reçoivent les colis, les expéditeurs leur fournissent des étiquettes d’expédition prépayées que les mules utiliseront pour expédier les colis aux expéditeurs eux-mêmes. Après avoir reçu les colis relayés par les drop, les embouteillages revendent ensuite les produits sur le marché noir local.
L’opérateur du service d’expédition acceptera soit un pourcentage de réduction (jusqu’à 50 %), les expéditeurs payant une partie de la valeur au détail du produit à l’opérateur du site à titre de frais de réexpédition. D’un autre côté, les opérations qui ciblent des produits moins chers (vêtements, par exemple) peuvent simplement facturer des frais forfaitaires de 50 à 70 dollars par colis. En fonction de la sophistication du service de réexpédition, les expéditeurs peuvent soit acheter des étiquettes d’expédition directement auprès du service – généralement avec une remise sur volume – soit fournir les leurs (pour une discussion sur les services criminels auxiliaires qui revendent des étiquettes USPS volées achetées en gros, consultez cette histoire à partir de 2014).
Les chercheurs ont découvert que les sites de réexpédition garantissent généralement un certain niveau de satisfaction client pour une livraison réussie des colis, avec quelques mises en garde importantes. Si un dépôt qui n’est pas signalé comme problématique détourne le colis, les sites de réexpédition proposent la livraison gratuite pour le prochain colis ou paient jusqu’à 15 % de la valeur de l’article en compensation aux acheteurs (par exemple, en compensation pour avoir « brûlé » la carte de crédit ou le étiquette de réexpédition déjà payée).
Cependant, dans les cas où les autorités identifient le dépôt et interceptent le colis, les sites de réexpédition ne fournissent aucune compensation – ils qualifient ces incidents de « cas de force majeure » sur lesquels ils n’ont aucun contrôle.
« Moyennant un supplément, les bourreurs peuvent louer des dépôts privés auxquels aucun autre bourreur n’aura accès », ont écrit les chercheurs. « Ces largages privés sont vraisemblablement plus fiables et sont protégés des interférences d’autres expéditeurs et, à leur tour, présentent un risque réduit d’être découverts (d’où un risque moindre de perte de colis). »
AMPLIFIER LES PROFITS
L’un des principaux avantages de l’encaissement de cartes volées à l’aide d’un service de réexpédition est que de nombreux biens de consommation de luxe généralement achetés avec des cartes volées – consoles de jeux, iPads, iPhones et autres appareils Apple, par exemple – peuvent être vendus en Russie pour 30 $. Une majoration de 1 à 5 % par rapport au prix d’achat initial, permettant aux voleurs d’augmenter leur rendement sur chaque carte volée.
Par exemple, un Apple MacBook Vendu 1 000 dollars américains aux États-Unis, il se vend généralement à environ 1 400 dollars américains en Russie, car divers droits de douane, taxes et autres frais augmentent leur prix.
Il n’est pas difficile de comprendre comment cela peut devenir une forme de fraude très lucrative pour toutes les personnes impliquées (à l’exception des drops). Selon les chercheurs, les dommages moyens causés par un programme de réexpédition par titulaire de carte sont de 1 156,93 dollars. Dans ce cas, l’acheteur achète une carte au marché noir pour 10 $, se retourne et achète des marchandises d’une valeur de plus de 1 100 $. Une fois que le service de réexpédition a pris sa part (~ 550 $) et que l’expéditeur a payé son étiquette de réexpédition (~ 100 $), l’expéditeur reçoit les marchandises volées et les revend sur le marché noir en Russie pour 1 400 $. Il vient de transformer un investissement de 10 $ en plus de 700 $. Rincez, lavez et répétez.
L’étude a examiné le fonctionnement interne de sept services de réexpédition différents sur une période de cinq ans, de 2010 à 2015, et a impliqué des données partagées par le FBI et le Service d’enquête postale des États-Unis. L’analyse a montré qu’au moins 85 pour cent des colis réexpédiés via ces programmes étaient envoyés à Moscou ou dans les environs immédiats de Moscou.
Les chercheurs ont écrit que « même s’il est souvent impossible de appréhender les criminels qui se trouvent à l’étranger, les schémas de réexpédition des destinations peut aider à intercepter les colis d’expédition internationaux avantils quittent le pays, par exemple dans un centre de service international USPS. Concentrer les efforts d’inspection sur les colis destinés aux principales villes de destination des expéditeurs peut accroître le succès de l’interception des articles issus des escroqueries de réexpédition.
L’équipe de recherche a écrit que perturber les chaînes de réexpédition de ces escroqueries pourrait potentiellement paralyser l’économie souterraine en affectant une importante source de revenus pour les cybercriminels. À titre d’exemple, l’équipe a découvert qu’un seul service de réexpédition exploité par des criminels peut générer un revenu annuel de plus de 7,3 millions de dollars américains, dont la majeure partie est constituée de bénéfices.
Une copie de l’article complet est disponible ici (PDF).