Passeports sur le dark web : combien vaut le vôtre ?
Combien vaut un scan de votre passeport pour un cybercriminel ?
Fin septembre 2018, Comparitech a effectué des recherches sur plusieurs marchés illicites pour déterminer la valeur des passeports sur le dark web. Ces marchés noirs comprennent le Dream Market, le marché Berlusconi, le marché de Wall Street et le marché libre de Tochka.
Voici une liste typique d'une analyse de passeport comprenant un selfie :
Voici nos principales conclusions :
- Le prix moyen d’un scan de passeport numérique est de 14,71 $.
- Si une preuve d’adresse ou une preuve d’identité – un selfie, une facture de services publics et/ou un permis de conduire – est ajoutée à une analyse de passeport, le prix moyen grimpe à 61,27 $.
- Les scans de passeport australien étaient les plus courants, et pourtant les plus chers (32 $).
- Le prix moyen d’un vrai passeport physique est de 13 567 $.
- Le prix moyen d’un passeport physique contrefait est de 1 478 $.
Les scans de passeport, qu'ils soient faux ou réels, sont souvent accompagnés d'autres formes d'identification, généralement une facture de services publics, un selfie du titulaire de la carte d'identité brandissant sa pièce d'identité et/ou un permis de conduire. Ces modules complémentaires se reflètent dans le prix : ils coûtent bien plus qu’un simple scan numérique. La raison en est que plusieurs formes d’identité sont généralement requises pour passer les contrôles de preuve d’adresse et de preuve d’identité sur les sites Web. Ces vérifications font souvent partie du processus de récupération de compte dans lequel un utilisateur a perdu l'accès à son compte et doit prouver son identité pour y accéder à nouveau.
La majeure partie de notre analyse s’est concentrée sur des scans numériques et des images de vrais passeports. Au total, nous avons trouvé 48 annonces uniques de vrais scans de passeports, dont 38 n’étaient vendues avec aucune preuve d’identité ou d’adresse. Ces 48 répartis dans 20 pays, dont vous pouvez consulter les prix dans ce tableau :
Australie | 10,40 $ | comprend le permis de conduire |
Australie | 37,65 $ | |
Australie | 7,91 $ | |
Australie | 36,40 $ | |
Australie | 37,99 $ | |
Australie | 27,36 $ | |
Australie | 20,34 $ | |
Australie | 94,21 $ | comprend une pièce d'identité secondaire |
Belgique | 10,39 $ | |
Canada | 102,96 $ | comprend un selfie |
Chine | 18,72 $ | |
Chine | 1,04 $ | vendu en paquet de 100 |
Chine | 10,40 $ | vendu en paquet de 10 |
Chine | 12,23 $ | |
Je (au hasard) | 5,17 $ | |
Finlande | 8,32 $ | |
France | 0,61 $ | (vendu en paquet de 40) |
France | 18,99 $ | comprend la facture de services publics |
France | 7,91 $ | |
France | 11,66 $ | |
France | 124,80 $ | comprend la facture de services publics et le selfie |
France | 10,40 $ | vendu en paquet de 10 |
Allemagne | 8,31 $ | |
Allemagne | 12,48 $ | |
Irlande | 7,27 $ | |
Italie | 14,68 $ | vendu en paquet de 10 |
Lettonie | 12,48 $ | |
Mexique | 28,81 $ | |
Pologne | 12,68 $ | |
Pologne | 33,10 $ | |
Roumanie | 12,48 $ | |
Russie | 10,00 $ | |
Russie | 11,00 $ | vendu en paquet de 10 |
Espagne | 10,40 $ | |
Espagne | 14,68 $ | |
ROYAUME-UNI | 51,99 $ | comprend le permis de conduire |
ROYAUME-UNI | 14,76 $ | comprend la facture de services publics |
ROYAUME-UNI | 7,91 $ | |
ROYAUME-UNI | 18,25 $ | vendu en paquet de 10 |
ROYAUME-UNI | 17,68 $ | |
ROYAUME-UNI | 24,47 $ | |
ROYAUME-UNI | 12,48 $ | |
ROYAUME-UNI | 61,19 $ | comprend la facture de services publics + selfie |
Ukraine | 11,00 $ | vendu en paquet de 10 |
cerf | 6,11 $ | |
cerf | 8,32 $ | |
cerf | 115,00 $ | comprend un selfie |
cerf | 18,36 $ | comprend le SSN et l'adresse |
Les scans de passeports australiens et britanniques étaient les plus fréquemment répertoriés, et les scans australiens étaient en moyenne les plus chers (32 $ US).Nous n’avons trouvé aucune tendance cohérente dans les prix selon les pays ; ils ne semblaient pas fondés sur la rareté ou sur la pouvoir du passeport du pays . Un large éventail de vendeurs vendent des scans de passeports, mais une petite poignée semble s'y spécialiser.
Types de passeports en vente sur le dark web
Les passeports vendus sur le dark web se présentent sous plusieurs formes :
- Photoshop modifiablemodèlesutilisé pour faire de faux scans de passeport. Ceux-ci coûtent très peu et sont disponibles dans presque tous les pays occidentaux. Ils constituent la majorité des listes de places de marché lors de la recherche de « passeport ».
- Scans de passeports numériques. Cesvrais scansdes passeports coûtent environ 10 $ chacun et sont souvent vendus en gros. Ils sont disponibles pour plusieurs pays et sont assez courants.
- Passeport physiquecontrefaçons. Nous avons trouvé des listes de faux passeports dans une poignée de pays européens. Ils coûtent généralement au nord de 1 000 $.
- De vrais passeports physiques. Ce sont de vraies affaires (selon la liste), donc elles ne sont ni courantes ni bon marché. La plupart d’entre eux coûtent plus de 12 000 $.
Tous ces éléments sont vendus sur le dark web contre des crypto-monnaies, généralement Bitcoin ou Monero. Les prix du tableau ont été consultés et convertis en dollars américains les 24 et 25 septembre 2018.
Comment les criminels utilisent-ils les scans de passeport ?
Certains des plus courantsLes cibles des criminels qui achètent des scans de passeport comprennent les échanges de crypto-monnaie, les systèmes de paiement et les sites de paris.
Même si une entreprise peut être mentionnée dans une liste de marché, cela n’implique pas nécessairement qu’elle est vulnérable ou que ses comptes ont été compromis.
Chutes de banque
Certaines banques et autres institutions financières n'exigent que deux pièces d'identité pour ouvrir un nouveau compte. Avec un passeport et un permis de conduire volés, par exemple, les fraudeurs peuventouvrez des comptes et récupérez les récompenses d'inscriptionau nom de la victime, ouutilisez le compte comme une mule pour encaisser d’autres transactions illégales.C’est ce qu’on appelle une escroquerie de « dépôt bancaire », et elle peut impliquer la victime dans d’autres crimes.
Nous supposons que les scans réels sont plus efficaces que les contrefaçons photoshopées pour les escroqueries bancaires.
Escroqueries en matière de récupération de compte et contournement de la 2FA
Dans cette arnaque, les pirates utilisent l'usurpation d'identité et l'ingénierie sociale pour contourner l'authentification à deux facteurs et abuser du processus de récupération de compte utilisé sur de nombreux sites. La récupération de compte nécessite souvent de numériser ou de prendre une photo d'une pièce d'identité physique, telle qu'un passeport.
Les fraudeurs peuvent modifier les analyses d'identité pour se faire passer pour un titulaire de compte sur un certain nombre de sites Web qui nécessitent une pièce d'identité avec photo pour la vérification et la récupération du compte.
Voici unexemplede la façon dont une analyse de passeport pourrait être utilisée dans une escroquerie de récupération de compte :
- La cible dispose d’un compte auprès d’un échange de crypto-monnaie. Ils ont configuré une authentification à deux facteurs sur leur compte, un code est donc envoyé à une application sur leur téléphone pour vérifier les connexions.
- Par d’autres moyens, l’escroc vole le mot de passe de l’utilisateur (peut-être par phishing ou violation de données). Mais comme 2FA est activé sur le compte, ils ne peuvent pas y accéder.
- Au lieu de cela, l’escroc se fait passer pour la victime et s’approche de l’échange de crypto-monnaie, affirmant qu’il a perdu l’accès à son téléphone, qu’il ne peut pas obtenir le code PIN d’authentification et qu’il ne peut donc pas se connecter.
- Lel'échange de crypto-monnaie demande au titulaire du compte d'envoyer une analyse de sa pièce d'identitépour prouver son identité avant de réinitialiser le 2FA sur le compte. Dans de nombreux cas, les entreprises exigeront que la personne prenne un selfie tout en tenant sa pièce d'identité, d'où le prix plus élevé des scans de passeport avec selfies.
- L’escroc modifie les analyses du dark web si nécessaire pour correspondre aux informations personnelles de la victime, puis les envoie à l’échange, se faisant toujours passer pour la victime.
- Dès réception d’une preuve d’identité, l’échange de crypto-monnaie réinitialise ou supprime le 2FA sur le compte, permettant au pirate informatique d’accéder et de vider les actifs cryptographiques de la victime. Les pirates informatiques modifient régulièrement les mots de passe et les adresses e-mail associés aux comptes pour rendre plus difficile la reprise du contrôle par le propriétaire du compte.
De nombreux vendeurs du marché noir proposent de modifier les informations affichées dans ces documents, scans et selfies pour qu'elles correspondent au nom et aux autres détails fournis par l'acheteur.L'acheteur peut parfois demander les passeports de personnes ayant un certain sexe, une certaine couleur de cheveux, une couleur de peau, une couleur d'yeux et une date de naissance approximative.
Lors de l'utilisationModèles Photoshop, les criminels saisissent simplement les informations qu'ils souhaitent et déposent leur propre photo. Les numéros de passeport sont séquentiels et il n’est donc pas difficile d’en deviner un légitime, et la plupart des entreprises qui demandent une preuve d’identité ne vérifieront pas réellement si le numéro de passeport correspond à celui du titulaire du passeport.
Passeports physiques
Tous les passeports physiques que nous avons trouvés en vente sur le dark web étaient destinés à des pays européens. Les passeports physiques vendus sur le dark web se présentent sous deux formes : authentiques et contrefaits. Ils peuvent être utilisés comme identification pour un certain nombre de crimes liés à la fraude ainsi qu'à l'immigration illégale, à la traite des êtres humains et à la contrebande.
Les passeports authentiques délivrés par l'État sont difficiles à obtenir et coûtent cher, allant de 8 216 $ (Allemagne) à 17 116 $ (Royaume-Uni). Le prix moyen des huit passeports prétendument authentiques était de 13 567 dollars. Au moins un vendeur affirme que ces passeports provenaient de « nos contacts corrompus avec la police de l’immigration », bien que nous n’ayons aucun moyen de le vérifier. Dans de nombreux cas, les acheteurs ont la possibilité de préciser quels détails sont inclus dans le passeport, y compris les cachets pour des pays spécifiques.
L'Autriche | 14684 $ |
tchèque | 12237 $ |
Allemagne | $8216 |
Italie | 14684 $ |
Pologne | 12237 $ |
le Portugal | 14684 $ |
ROYAUME-UNI | 17 116 $ |
ROYAUME-UNI | 14679 $ |
Les contrefaçons coûtent environ un dixième du prix, mais ils coûtent toujours plus de 1 000 $. Le prix moyen des six vendeurs de contrefaçons était de 1 478 dollars. Les acheteurs soumettent les informations et la photo à utiliser dans la contrefaçon lors de l'achat.
Espagne | 1 560,00 $ |
Italie | 1 027,00 $ |
Espagne | 1 027,00 $ |
Sur la carotte | 1 027,00 $ |
Italie | 1 560,00 $ |
Danemark | 2667,00 $ |
Comment protéger votre passeport
Protéger votre passeport est difficile car les voyageurs doivent le montrer à de nombreuses reprises lorsqu'ils voyagent. Les passeports sont requis aux points de contrôle de l'immigration, à l'enregistrement à l'hôtel et pour postuler à un emploi ou à une école à l'étranger.Les passeports sont souvent scannés et stockés sur des ordinateurs qui ne sont pas suffisamment sécurisés.Une personne ayant accès à ces analyses pourrait les clôturer sur le dark web. Il est facile d’imaginer un réceptionniste d’une auberge bon marché en train de scanner sa clientèle sur le dark web pour obtenir de l’argent de poche.
Vous devez faire ce que vous pouvez pour protéger votre passeport afin qu’il ne soit pas utilisé par des criminels. Voici quelques conseils :
- Dans de nombreux cas, vous pouvez fournir votre propre copie de votre passeport plutôt que de la laisser scanner par un étranger. Faites des numérisations en noir et blanc avant votre voyage, car la plupart des criminels veulent des copies couleur.
- Ne publiez pas de photos de l’intérieur de votre passeport sur les réseaux sociaux.
- Jetez les vieux passeports en les détruisant, ne vous contentez pas de les jeter.
- Ne conservez pas votre passeport dans les bagages enregistrés dans un avion, un train ou un bus.
- Attention aux pickpockets, et pensez à un sac antivol.
- Ne laissez pas votre passeport traîner lorsque vous n’êtes pas là, comme dans une chambre d’hôtel. Verrouillez-le lorsque cela est possible.
- Ne stockez pas de scans de votre passeport sur votre appareil au cas où il serait volé ou piraté. Cryptez et stockez les analyses sur un disque dur séparé ou dans le cloud.
- Ne conservez pas votre passeport avec d’autres documents d’identification qui pourraient être utilisés pour usurper votre identité
Remarques et limites
Parfois, il est difficile de faire la distinction entre une liste pour une numérisation photoshopée et une numérisation réelle. Nous avons essayé d'inclure uniquement des analyses réelles dans le tableau ci-dessus.
Les scans de passeport sont beaucoup moins chers si vous achetez en gros, mais rien ne garantit que ces scans n’ont pas été utilisés auparavant, que les informations qu’ils contiennent n’ont pas expiré ou qu’il ne s’agit pas de contrefaçons photoshopées. Certaines listes ressemblent à des doublons provenant de différents fournisseurs, ce qui suggère que plusieurs fournisseurs pourraient vendre les mêmes scans. Nous avons essayé d'éviter de répertorier les doublons dans le tableau ci-dessus.
Bien qu'il soit toujours possible que certaines annonces soient des escroqueries, tous les fournisseurs dont nous avons inclus les produits dans notre analyse ont reçu des commentaires positifs de la part des acheteurs.
Tous les marchés que nous avons interrogés utilisent l'anglais comme langue principale. Les marchés dans d’autres langues, comme le russe, pourraient bien produire des résultats différents.
UN étude 2014 a révélé un taux d'erreur de 15 pour cent dans la correspondance entre la personne et la photo d'identité qu'elle affichait parmi les agents d'immigration délivrant les passeports en Australie.
Les applications génératrices de fausses identités ne manquent pas sur le Web et ne nécessitent pas l’achat de scans volés sur le dark web, mais nous ne savons pas comment elles se comparent en termes de qualité, de personnalisation et de précision.
Images rédigées par Comparitech. Nous avons contacté certaines des entreprises prétendument vulnérables mentionnées dans les listes et mettrons à jour cet article si nous recevons une réponse.
' Nouveau passeport » de Nick Richards sous licence CC BY-SA 2.0