Cela a pris une décennie, mais les responsables américains ont finalement démasqué le cerveau de « Try2Check »
Le gouvernement américain a annoncé mercredi avoir démantelé « Try2Check », une opération de vérification des cartes de crédit qui permettait aux cybercriminels impliqués dans l’achat et la vente en masse de numéros de cartes de crédit volés de voir quelles cartes étaient valides et actives.
Les procureurs du ministère de la Justice ont confirmé l’inculpation du citoyen russe Denis Gennadievich Kulkov, soupçonné d’avoir créé Try2Check en 2005. Kulkov aurait gagné au moins 18 millions de dollars en bitcoins grâce au service, qui a non seulement victimisé les titulaires et les émetteurs de cartes de crédit, mais également une importante société américaine de traitement des paiements dont les systèmes ont été exploités pour effectuer les vérifications de cartes.
Try2Check a profité du service de « préautorisation » de l’entreprise anonyme, par lequel une entreprise – comme un hôtel – demande à l’entreprise de traitement des paiements d’autoriser au préalable un débit sur la carte d’un client pour confirmer qu’elle est valide et dispose du crédit nécessaire. Try2Check s’est fait passer pour un commerçant demandant une préautorisation afin d’extraire des informations sur la validité de la carte de crédit.
En novembre 2018, le FBI et les services secrets américains ont utilisé un personnage en ligne sous couverture pour charger des bitcoins sur un compte Try2Check. Un agent s’est ensuite connecté à ce compte et a exécuté 20 numéros de carte de crédit nouvellement créés via le système de vérification de carte de Try2Check. Ces transactions apparaissaient dans les systèmes de l’entreprise américaine de traitement des paiements comme si elles étaient soumises par des marchands américains pour préautorisation, et contenaient des numéros d’identification uniques correspondant à de vrais marchands.
Non seulement ces transactions ont révélé le fonctionnement interne de Try2Check, mais aussi la vaste échelle de l’opération : les mêmes adresses IP utilisées pour soumettre les numéros de carte de crédit pour préautorisation avaient collectivement soumis plus de 16 millions de numéros de carte de crédit pour préautorisation sur neuf mois entre avril et décembre 2018.
Selon les procureurs, Try2Check traite au moins des dizaines de millions de numéros de cartes chaque année.
Bien que cette opération d’infiltration ait révélé l’étendue de l’activité de Try2Check, découvrir la personne derrière tout cela était beaucoup plus ardu. Le FBI et les services secrets américains ont confirmé qu’ils enquêtaient sur le service depuis 2013.
Une photo de Denis Gennadievich Kulkov, le principal suspect dans le stratagème de carte de crédit Try2Check, comme illustré sur une photo « recherchée » par le gouvernement américain. Crédits image : Département d’Etat.
L’enquête d’une décennie s’est largement concentrée sur le suivi des différents personnages en ligne de Kulkov. Par exemple, des examens d’Internet Archive ont révélé que les premières versions du site Web Try2Check, alors connu sous le nom de « just-buy.it », contenaient le nom « Kreenjo » dans son logo. Dans le même temps, les autorités ont découvert que « Kreenjo » était également le nom d’un utilisateur qui postait sur des forums Internet fréquentés par des cybercriminels.
En 2006, par exemple, un utilisateur nommé Kreenjo a proposé des services de vérification de carte de crédit sur un forum en ligne sur la cybercriminalité. La signature du message contenait l’URL « check.just-buy.it », qui était une adresse Web à laquelle Try2Check était accessible à ce moment-là.
Les enquêteurs américains ont continué à suivre la présence en ligne de Kreenjo, qui utilisait également les pseudonymes de « Nordex » et « Nordexin » ; le premier s’était identifié comme « Denis de Samara », une ville du sud-ouest de la Russie, dans des messages envoyés aux utilisateurs du forum, tandis que le surnom de Nordexin a été découvert dans des enregistrements obtenus à partir d’un échange cryptographique anonyme.
Ces enregistrements ont montré que l’utilisateur enregistré pour ce compte a fourni son passeport, révélant le nom « Denis Kulkov », une adresse à Samara et une adresse e-mail, appelée « Nordexin Platform-1 », qui a finalement démasqué Kulkov comme l’homme derrière le désormais célèbre service Try2Check.
Les preuves liant Kulkov à Try2Check ont continué de croître : des documents de voyage obtenus auprès de Marriott International qui liaient l’identité de Kulkov au passeport utilisé pour ouvrir son compte de crypto-monnaie et des images correspondant à sa photo de passeport ont été trouvées sur un profil Instagram accessible au public appartenant à « Denis Kulkov, propriétaire de Ferrari » et un site Foursquare qui avait « aimé » diverses entreprises à Samara, en Russie.
À la suite de ces preuves croissantes, un juge en mai 2019 a ordonné la recherche du compte Nordexin Platform-1.
Le compte contenait des images de pages Web de Try2Check qui n’étaient pas accessibles au public, y compris des captures d’écran du « panneau administrateur » du site et une page indiquant le solde de bitcoins associé à chaque utilisateur de Try2Check. Il contenait également plusieurs courriels entre Denis Kulkov et d’autres personnes, dont sa femme, qui a également fourni des documents de voyage à l’hôtel Marriott. L’un de ces e-mails contenait une photo de Kulkov brandissant son passeport. Dans un autre, il a tenté de convertir ses avoirs en crypto-monnaie en monnaie fiduciaire, demandant « Quel est le montant maximum qui ne causera pas de suspicion de conformité? »
En fin de compte, ce ne sont pas les tentatives de Kulkov de convertir ses millions en crypto qui ont causé sa perte, mais plutôt son incapacité à couvrir ses vastes pistes en ligne.
Le Département d’État américain a annoncé une offre de récompense de 10 millions de dollars pour les informations menant à l’arrestation ou à la condamnation de Kulkov. S’il est reconnu coupable, Kulkov encourt 20 ans d’emprisonnement.