« AntiBrowser » : un outil pour contourner la plupart des systèmes anti-fraude – Par Alexei Chachourine, expert en cybersécurité chez Lexsi

Internet security data concept background

Les carders cherchent constamment à contourner les solutions de détection anti-fraude déployées notamment par les banques et e-commerçants. Ces solutions reposent essentiellement sur la corrélation des « empreintes numériques » (fingerprinting), c’est à dire les traces laissées lors de l’interaction d’une machine ou d’une application avec un service Web.  Il existe des technologies et des sociétés spécialisées dans l’analyse et la comparaison d’une forme d’« identité numérique technique ». Elles permettent ainsi par exemple aux institutions financières et tiers de confiance d’identifier voire rejeter des connexions ou transactions suspectes, car initiées par des « empreintes » ne correspondant pas au profil habituel ou attendu.

Afin de tromper les systèmes anti-fraude d’un e-commerçant par exemple, les cybercriminels peuvent acheter auprès de vendeurs spécialisés un « proxy » (point de sortie distant) correspondant à la géo-localisation du propriétaire légitime d’une carte bancaire volée. Les banques bloquent souvent les achats en ligne si la localisation de l’acheteur ne correspond pas à celle habituelle du propriétaire. Les pirates changent aussi les éléments liés au système d’exploitation, au navigateur, à la langue utilisée ou encore l’heure locale.

La plupart des carders débutants modifient ces paramètres manuellement, ce qui se révèle chronophage. Vu le temps passé à créer un nouveau profil ressemblant à celui du détenteur de la carte compromise, le retour sur investissement n’est pas toujours au rendez-vous.

Dans un souci permanent d’optimisation du ratio temps/gain financier, certains carders, parmi les plus expérimentés et donc les plus fortunés, s’achètent des outils clés en main qui permettent de modifier facilement et rapidement les paramètres permettant de tromper le fingerprinting mis en œuvre sur la base des données techniques.

Seul au monde à contourner CSS3 Media

Deux outils de ce type appelés « AntiDetect » [1] et « FraudFox » [2] ont fait leur apparition récemment sur les marchés underground.

Un autre outil découvert récemment et baptisé AntiBrowser, se veut encore plus élaboré et efficace. La vente d’AntiBrowser s’effectue actuellement sur deux forums de cybercriminels russophones réputés.

L’auteur ne se contente pas d’améliorer les techniques de base, à savoir remplacer les différentes indications du système et du navigateur internet vérifié par la plupart des systèmes anti-fraude. Il s’applique également à contourner les principales composantes techniques des systèmes anti-fraude:Comyr [3], BlueCava [4], CSS3 Media, 4 variantes de valve-fingerprintjs et Canvas [5]. Pour preuve, les vidéos ont été postées par l’auteur sur les forums.

Lexsi L’auteur a posté les preuves de contournement de plusieurs systèmes de fingerprinting

L’auteur affirme qu’il est le seul au monde capable de contourner le CSS3 Media. Pour prouver l’aspect unique de son outil, il propose de faire une démonstration via Jabber sur des sites que les autres outils d’anti-détection n’arrivent pas à contourner.

Selon le créateur, la fonction principale de l’outil est d’intercepter le Javascript avant la mise en route des systèmes de détection.  Il assure qu’il est possible de changer les « headers » et montrer au site qu’Adobe Flash est activé alors que ce n’est pas le cas. Il est également possible d’emprunter des dizaines de profils prédéfinis disponibles (par exemple celui d’un iPad ou un iPhone).

Positionnement haut de gamme de l’outil

L’auteur a une très haute estime de son outil, qu’il vend  5 000$ alors que les produits de ses concurrents sont 5 à 8 fois moins chers. Il assure lui-même le support ainsi que l’ajout régulier de nouveaux modules. Il avance que ses clients trouvent même la parution de ses nouveaux modules trop fréquente.

Le créateur vend l’outil sous « licence » ce qui n’empêche pas les malins de le disséquer, de développer leurs propres outils puis de les mettre en vente sur les marchés cybercriminels. Néanmoins, l’auteur assure qu’il est prêt à démontrer à quiconque que son outil est technologiquement le plus avancé.

Les habitués du forum vantent les mérites d’AntiBrowser  alors que les moins chanceux économisent afin de se le procurer. Le créateur sait susciter l’intérêt des acheteurs potentiels en présentant son outil comme un investissement important qui permettra à coup sûr d’augmenter le revenu de son utilisateur. Il pratique également des ristournes à la « tête des clients », à l’occasion de la sortie d’un nouveau module ou de la fête du 9 mai symbole de la victoire pendant la deuxième guerre mondiale.

La version 2.3 de l’AntiBrowser  est sortie fin avril. Si l’outil fonctionne comme le déclare l’auteur, les cybercriminels possèdent un atout supplémentaire afin de contourner les systèmes anti-fraude des e-commerçants et sites des banques.

 

[1] http://krebsonsecurity.com/2015/03/antidetect-helps-thieves-hide-digital-fingerprints/

[2] http://www.csoonline.com/article/2871248/fraud-prevention/this-tool-may-make-it-easier-for-thieves-to-empty-bank-accounts.html

[3] http://fingerprinting.comyr.com/

[4] http://bluecava.com/

 [5] https://fr.wikipedia.org/wiki/Canvas_(HTML)

Author
By
@coesteve1

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

« AntiBrowser » : un outil pour contourner la plupart des systèmes anti-fraude – Par Alexei Chachourine, expert en cybersécurité chez Lexsi

Internet security data concept background 2nd juillet, 2015

Les carders cherchent constamment à contourner les solutions de détection anti-fraude déployées notamment par les banques et e-commerçants. Ces solutions reposent essentiellement sur la corrélation des « empreintes numériques » (fingerprinting), c’est à dire les traces laissées lors de l’interaction d’une machine ou d’une application avec un service Web.  Il existe des technologies et des sociétés spécialisées dans l’analyse et la comparaison d’une forme d’« identité numérique technique ». Elles permettent ainsi par exemple aux institutions financières et tiers de confiance d’identifier voire rejeter des connexions ou transactions suspectes, car initiées par des « empreintes » ne correspondant pas au profil habituel ou attendu.

Afin de tromper les systèmes anti-fraude d’un e-commerçant par exemple, les cybercriminels peuvent acheter auprès de vendeurs spécialisés un « proxy » (point de sortie distant) correspondant à la géo-localisation du propriétaire légitime d’une carte bancaire volée. Les banques bloquent souvent les achats en ligne si la localisation de l’acheteur ne correspond pas à celle habituelle du propriétaire. Les pirates changent aussi les éléments liés au système d’exploitation, au navigateur, à la langue utilisée ou encore l’heure locale.

La plupart des carders débutants modifient ces paramètres manuellement, ce qui se révèle chronophage. Vu le temps passé à créer un nouveau profil ressemblant à celui du détenteur de la carte compromise, le retour sur investissement n’est pas toujours au rendez-vous.

Dans un souci permanent d’optimisation du ratio temps/gain financier, certains carders, parmi les plus expérimentés et donc les plus fortunés, s’achètent des outils clés en main qui permettent de modifier facilement et rapidement les paramètres permettant de tromper le fingerprinting mis en œuvre sur la base des données techniques.

Seul au monde à contourner CSS3 Media

Deux outils de ce type appelés « AntiDetect » [1] et « FraudFox » [2] ont fait leur apparition récemment sur les marchés underground.

Un autre outil découvert récemment et baptisé AntiBrowser, se veut encore plus élaboré et efficace. La vente d’AntiBrowser s’effectue actuellement sur deux forums de cybercriminels russophones réputés.

L’auteur ne se contente pas d’améliorer les techniques de base, à savoir remplacer les différentes indications du système et du navigateur internet vérifié par la plupart des systèmes anti-fraude. Il s’applique également à contourner les principales composantes techniques des systèmes anti-fraude:Comyr [3], BlueCava [4], CSS3 Media, 4 variantes de valve-fingerprintjs et Canvas [5]. Pour preuve, les vidéos ont été postées par l’auteur sur les forums.

Lexsi L’auteur a posté les preuves de contournement de plusieurs systèmes de fingerprinting

L’auteur affirme qu’il est le seul au monde capable de contourner le CSS3 Media. Pour prouver l’aspect unique de son outil, il propose de faire une démonstration via Jabber sur des sites que les autres outils d’anti-détection n’arrivent pas à contourner.

Selon le créateur, la fonction principale de l’outil est d’intercepter le Javascript avant la mise en route des systèmes de détection.  Il assure qu’il est possible de changer les « headers » et montrer au site qu’Adobe Flash est activé alors que ce n’est pas le cas. Il est également possible d’emprunter des dizaines de profils prédéfinis disponibles (par exemple celui d’un iPad ou un iPhone).

Positionnement haut de gamme de l’outil

L’auteur a une très haute estime de son outil, qu’il vend  5 000$ alors que les produits de ses concurrents sont 5 à 8 fois moins chers. Il assure lui-même le support ainsi que l’ajout régulier de nouveaux modules. Il avance que ses clients trouvent même la parution de ses nouveaux modules trop fréquente.

Le créateur vend l’outil sous « licence » ce qui n’empêche pas les malins de le disséquer, de développer leurs propres outils puis de les mettre en vente sur les marchés cybercriminels. Néanmoins, l’auteur assure qu’il est prêt à démontrer à quiconque que son outil est technologiquement le plus avancé.

Les habitués du forum vantent les mérites d’AntiBrowser  alors que les moins chanceux économisent afin de se le procurer. Le créateur sait susciter l’intérêt des acheteurs potentiels en présentant son outil comme un investissement important qui permettra à coup sûr d’augmenter le revenu de son utilisateur. Il pratique également des ristournes à la « tête des clients », à l’occasion de la sortie d’un nouveau module ou de la fête du 9 mai symbole de la victoire pendant la deuxième guerre mondiale.

La version 2.3 de l’AntiBrowser  est sortie fin avril. Si l’outil fonctionne comme le déclare l’auteur, les cybercriminels possèdent un atout supplémentaire afin de contourner les systèmes anti-fraude des e-commerçants et sites des banques.

 

[1] http://krebsonsecurity.com/2015/03/antidetect-helps-thieves-hide-digital-fingerprints/

[2] http://www.csoonline.com/article/2871248/fraud-prevention/this-tool-may-make-it-easier-for-thieves-to-empty-bank-accounts.html

[3] http://fingerprinting.comyr.com/

[4] http://bluecava.com/

 [5] https://fr.wikipedia.org/wiki/Canvas_(HTML)

By
@coesteve1
backtotop