Le dimanche 15 mai dernier, un groupe de pirates a monté une opération de détournement massif d’argent totalisant 13m$ environJapan 1.

Selon la police, plus de 100 pirates (des «mules» plutôt) ont procédé à de nombreux retraits frauduleux pendant 2h et demi, sur 1400 distributeurs situés au Japon, principalement dans des supérettes, notamment de la chaîne 7-11.

Japan 2Pour ce faire, environ 1600 fausses cartes ont été encodées avec des données bancaires préalablement dérobées à des clients de la principale banque sud-africaine, Standard Bank.

Japan 3

Monter une telle opération nécessite une coordination minutieuse de plusieurs mois, et entraîne des frais conséquents. En particulier si les mules sont recrutées depuis des pays tiers, puis « projetées » au Japon de façon synchronisée (avion, transport, voire hébergement, faux papiers, etc.).

Cette affaire rappelle un peu le piratage de RBS Worldpay en 2008, où près de 9m$ avaient été débités depuis plus de 2000 distributeurs de 280 villes dans 8 pays minimum, en moins de 12 heures (et potentiellement 49 villes en moins de 30 minutes).

Mais dans notre cas nippon (mais bien mauvais), réalisons ensemble quelques calculs :

NB : ces chiffres sont donnés à titre informatif et ne reflètent pas forcément la réalité du mode opératoire du groupe de cybercriminels. Ils prennent pour postulat de départ que 100 mules sont intervenues de façon égale.

Répartition des « équipes » :

100 mules opérant dans 16 préfectures du Japon : 7 personnes dans chaque région.

Magasins visés :

si les 1400 ATMs sont uniquement au sein de magasins 7-11 (NDLR : peu probable), 8% des 18k points de vente de la chaine au Japon ont été impliqués.

japan 4

Cartes bancaires : 100 mules utilisant 1600 cartes falsifiées, soit 16 cartes par mule (facilement dissimulables dans un sac, ce qui n’est pas le cas des billets obtenus, comme nous allons le voir après).

ATM : 100 mules sur 1400 ATMs en 2,5heures : chaque mule devait se rendre dans près de 6 DABs par heure, ce qui fait 10min par DAB ! Eventuellement japan 5possible si plusieurs DAB étaient situés dans un même magasin…

Pertes : 100 mules ont réussi à retirer 12,7m$, soit 127k$ par mule, mais « que » 8k$ par carte ou encore 9k$ par ATM.

NDLR : Les montants par carte ou ATM demeurent « raisonnables » et peuvent permettre de passer sous les radars des banques.

Répartition des gains:

Comment les mules blanchissent ensuite ce liquide amassé ? 127k€ en petites coupures n’est pas très « discret » : 14m¥ par mule représente environ 1400 billets de 10 000 yens !

Et un virement Western Union de 63,5k$ se révèle encore moins discret, vu que le montant maximum ne dépasse pas généralement 8000€. (Une dizaine de virements différents auraient donc du être réalisés par mule…)

Combien touchent les cerveaux véritablement dans cette affaire ? Nul ne le sait à ce stade. Des mules professionnelles comme dans ce cas portent la grande majorité du risque d’interpellation, et prennent dès lors une part conséquente –parfois près de la moitié- des gains éventuels.

Mais où est Charlie ?

Le risque qu’une opération de cette ampleur « capote » est par ailleurs assez important. Les cerveaux de l’affaire ont surement cherché à empêcher qu’on puisse remonter à eux si une mule est arrêtée avant, pendant ou après l’attaque. Vu les nombreuses caméras disponibles et traces laissées lors des échanges nécessaires pour coordonner l’attaque (chat, SMS, message privé, etc.) l’identification de certaines mules est en effet tout à fait envisageable.japan 6

Le choix d’un dimanche pour opérer n’est également pas anodin, pour limiter les risques de détection par pattern du côté des banques et dans le cas où les mules envisagent fuir le pays. (Un article de média japonais mentionne, sans détailler ses sources, la participation d’individus Chinois par exemple).

Mais il y a une probabilité forte que si 100 personnes prennent l’avion avec autant de cash, au moins l’une d’entre elle soit intercepté. Les mules ont donc probablement « planqué », viré ou changé une bonne partie du liquide débité depuis le Japon. Où en fait s’y trouvent encore…

Conclusion :

Mieux vaut envoyer un email usurpant l’adresse du PDG de la société X et prétextant une opération de fusac en cours : l’équipementier aéronautique autrichien FACC.com a en effet subi en début d’année une fraude au président massive de près de 53m€, sur lesquels 42m€ demeurent introuvables et 11m€ bloqués.

japan 7
Walter Stephan, CEO fired by FACC AG
« What wire transfer are you talking about ? I never sent you such an email »

Les pirates responsables de l’opération japonaise doivent se dire qu’ils ont produit des efforts incroyables pour un ROI très inférieur à une «  simple » arnaque par email ?(NDLR : certaines arnaques au Président sont sophistiquées)

C’est à dégoûter de voler des numéros de cartes bancaires… Enfin, c’est ce qu’on espère 😉