in

"AntiBrowser" : un outil pour contourner la plupart des systèmes anti-fraude – Par Alexei Chachourine, expert en cybersécurité chez Lexsi

Les carders cherchent constamment à contourner les solutions de détection anti-fraude déployées notamment par les banques et e-commerçants. Ces solutions reposent essentiellement sur la corrélation des « empreintes numériques » (fingerprinting), c’est à dire les traces laissées lors de l’interaction d’une machine ou d’une application avec un service Web.  Il existe des technologies et des sociétés spécialisées dans l’analyse et la comparaison d’une forme d’« identité numérique technique ». Elles permettent ainsi par exemple aux institutions financières et tiers de confiance d’identifier voire rejeter des connexions ou transactions suspectes, car initiées par des « empreintes » ne correspondant pas au profil habituel ou attendu.

Afin de tromper les systèmes anti-fraude d’un e-commerçant par exemple, les cybercriminels peuvent acheter auprès de vendeurs spécialisés un « proxy » (point de sortie distant) correspondant à la géo-localisation du propriétaire légitime d’une carte bancaire volée. Les banques bloquent souvent les achats en ligne si la localisation de l’acheteur ne correspond pas à celle habituelle du propriétaire. Les pirates changent aussi les éléments liés au système d’exploitation, au navigateur, à la langue utilisée ou encore l’heure locale.

La plupart des carders débutants modifient ces paramètres manuellement, ce qui se révèle chronophage. Vu le temps passé à créer un nouveau profil ressemblant à celui du détenteur de la carte compromise, le retour sur investissement n’est pas toujours au rendez-vous.

Dans un souci permanent d’optimisation du ratio temps/gain financier, certains carders, parmi les plus expérimentés et donc les plus fortunés, s’achètent des outils clés en main qui permettent de modifier facilement et rapidement les paramètres permettant de tromper le fingerprinting mis en œuvre sur la base des données techniques.

Seul au monde à contourner CSS3 Media

Deux outils de ce type appelés « AntiDetect » [1] et « FraudFox » [2] ont fait leur apparition récemment sur les marchés underground.

Un autre outil découvert récemment et baptisé AntiBrowser, se veut encore plus élaboré et efficace. La vente d’AntiBrowser s’effectue actuellement sur deux forums de cybercriminels russophones réputés.

L’auteur ne se contente pas d’améliorer les techniques de base, à savoir remplacer les différentes indications du système et du navigateur internet vérifié par la plupart des systèmes anti-fraude. Il s’applique également à contourner les principales composantes techniques des systèmes anti-fraude:Comyr [3], BlueCava [4], CSS3 Media, 4 variantes de valve-fingerprintjs et Canvas [5]. Pour preuve, les vidéos ont été postées par l’auteur sur les forums.

Lexsi L’auteur a posté les preuves de contournement de plusieurs systèmes de fingerprinting

L’auteur affirme qu’il est le seul au monde capable de contourner le CSS3 Media. Pour prouver l’aspect unique de son outil, il propose de faire une démonstration via Jabber sur des sites que les autres outils d’anti-détection n’arrivent pas à contourner.

Selon le créateur, la fonction principale de l’outil est d’intercepter le Javascript avant la mise en route des systèmes de détection.  Il assure qu’il est possible de changer les « headers » et montrer au site qu’Adobe Flash est activé alors que ce n’est pas le cas. Il est également possible d’emprunter des dizaines de profils prédéfinis disponibles (par exemple celui d’un iPad ou un iPhone).

Positionnement haut de gamme de l’outil

L’auteur a une très haute estime de son outil, qu’il vend  5 000$ alors que les produits de ses concurrents sont 5 à 8 fois moins chers. Il assure lui-même le support ainsi que l’ajout régulier de nouveaux modules. Il avance que ses clients trouvent même la parution de ses nouveaux modules trop fréquente.

Le créateur vend l’outil sous « licence » ce qui n’empêche pas les malins de le disséquer, de développer leurs propres outils puis de les mettre en vente sur les marchés cybercriminels. Néanmoins, l’auteur assure qu’il est prêt à démontrer à quiconque que son outil est technologiquement le plus avancé.

Les habitués du forum vantent les mérites d’AntiBrowser  alors que les moins chanceux économisent afin de se le procurer. Le créateur sait susciter l’intérêt des acheteurs potentiels en présentant son outil comme un investissement important qui permettra à coup sûr d’augmenter le revenu de son utilisateur. Il pratique également des ristournes à la « tête des clients », à l’occasion de la sortie d’un nouveau module ou de la fête du 9 mai symbole de la victoire pendant la deuxième guerre mondiale.

La version 2.3 de l’AntiBrowser  est sortie fin avril. Si l’outil fonctionne comme le déclare l’auteur, les cybercriminels possèdent un atout supplémentaire afin de contourner les systèmes anti-fraude des e-commerçants et sites des banques.

 

[1] http://krebsonsecurity.com/2015/03/antidetect-helps-thieves-hide-digital-fingerprints/

[2] http://www.csoonline.com/article/2871248/fraud-prevention/this-tool-may-make-it-easier-for-thieves-to-empty-bank-accounts.html

[3] http://fingerprinting.comyr.com/

[4] https://bluecava.com/

 [5] https://fr.wikipedia.org/wiki/Canvas_(HTML)

Written by Corinne

Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès.
Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication.
Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.