Les services de paiement sont devenus beaucoup plus pratiques et beaucoup plus sûrs au cours de ces dernières années, mais les cybercriminels arrivent encore à voler l’argent des cartes bancaires partout dans le monde. Quelles sont les méthodes les plus souvent utilisées pour commettre ces vols et comment pouvez-vous vous défendre ?
Le clonage de la carte
Lorsque toutes les informations des cartes se trouvaient dans une bande magnétique, les fraudeurs pouvaient facilement faire une copie de la carte et l’utiliser pour effectuer des paiements dans des magasins ou des retraits d’argent aux distributeurs. Tout d’abord, les données étaient lues avec un appareil spécial : l’installation d’un skimmer sur un distributeur de billets ou sur le lecteur de cartes d’un magasin. Cette technique se servait d’une caméra ou d’un clavier spécial posé sur le pavé numérique traditionnel afin d’obtenir le code PIN de la carte. Une fois en possession des coordonnées de la carte et du code PIN, les escrocs écrivaient les données sur une carte vierge et s’en servaient en magasin ou à un distributeur.
Cette technologie fonctionne encore dans certains pays, mais l’arrivée des cartes à puce a nettement réduit son efficacité. Une carte à puce est plus difficile à copier. C’est pourquoi les escrocs ont commencé à infecter les terminaux de paiement avec un code malveillant qui copie certaines données de la carte pendant que l’appareil traite un achat légitime. Ces informations leur permettent ensuite d’envoyer des demandes de paiement générées habilement. En substance, ils ne font qu’envoyer les données qui étaient auparavant stockées dans la bande magnétique, mais la transaction apparaît comme effectuée par la puce. Cela est possible lorsque les banques ne croisent pas suffisamment en détail les paramètres de plusieurs transactions et mettent mal en place les protocoles EMV que toutes les actions faites avec une carte à puce doivent respecter.
Lorsque les banques ne sont pas si laxistes, les escrocs utilisent des techniques beaucoup plus sophistiquées. Lorsque la victime effectue un paiement légitime, le terminal de paiement infecté demande à la carte insérée d’effectuer une autre transaction frauduleuse. Ainsi, la carte n’est pas copiée mais des fonds supplémentaires sont retirés.
Comment vous protéger. Essayez d’utiliser le paiement sans contact de votre téléphone, puisqu’il est mieux protégé. Si vous devez tout de même insérer votre carte dans le terminal, vérifiez le pavé numérique que allez utiliser pour saisir votre code PIN afin de détecter les éventuelles modifications suspectes. Vous devez également cacher le dispositif avec votre main, portefeuille ou autre lorsque vous entrez le code. Si le terminal n’accepte pas le paiement sans contact et qu’un message inhabituel apparaît sur l’écran, ou que vous devez saisir plusieurs fois le code PIN, vous devez vous méfier et prendre de nouvelles mesures de protection. Vous pouvez, par exemple, immédiatement vérifier le solde de votre compte ou établir un seuil de paiement bas avec la carte.
Des portefeuilles « blindés »
De nos jours, vous pouvez acheter des portefeuilles et des porte-monnaie qui bloquent le RFID et qui protègent les cartes physiques qui se trouvent à l’intérieur en empêchant la lecture à distance, comme dans les transports en commun. Cette protection ne fait rien de mal et fonctionne vraiment. Pourtant, ce scénario d’attaque n’est presque jamais utilisé en pratique. Vous ne pouvez lire que les informations basiques d’une carte lors d’une analyse aussi rapide, et vous n’avez généralement pas assez de temps pour effectuer un paiement. D’autre part, certaines informations sont faciles à obtenir, comme les derniers emplacements et les montants des dernières transactions sans contact.
Le vol des données bancaires sur Internet
Dans ce cas, les escrocs cherchent à obtenir les informations des cartes bancaires afin d’effectuer des paiements en ligne : numéro de carte, date d’expiration et cryptogramme visuel (CVV / CVC). Selon le pays, ils peuvent aussi demander le nom du titulaire, le code postal ou le numéro du passeport. Les escrocs disposent de trois techniques relativement efficaces pour obtenir ce genre de renseignements :
- Soutirer les informations à la victime à l’aide d’une fausse boutique en ligne, par exemple une copie d’hameçonnage d’un vrai magasin en ligne, ou en faisant croire qu’ils font une collecte.
- Intercepter les informations en infectant le site de l’authentique boutique en ligne (Web Skimming) ou l’ordinateur/le smartphone de la victime (cheval de Troie bancaire).
- Pirater une boutique en ligne et voler les informations sauvegardées des cartes bancaires des clients. Il convient de souligner que les sites ne peuvent pas conserver les informations bancaires, mais certains ne respectent parfois pas cette règle.
De façon générale, cette technique de vol, même si ancienne, va perdurer. Selon nos analyses, les attaques par vol de données bancaires ont presque doublé en 2022.
Comment vous protéger. Tout d’abord, obtenez une carte virtuelle pour les paiements en ligne. Si vous pouvez facilement le faire et à un prix correct, demandez une nouvelle carte bancaire et bloquez l’antérieure au moins une fois par an. Ensuite, établissez une limite de paiement basse pour votre carte de paiement en ligne, ou conservez peu d’argent sur le compte associé à la carte. Vérifiez aussi que la banque vous demande toujours de confirmer les paiements en ligne à l’aide d’un code à usage unique (via 3-D Secure ou tout autre mécanisme similaire). Enfin, vérifiez minutieusement les formulaires de paiement et les adresses des sites sur lesquels vous entrez vos informations bancaires. Utilisez des outils de cybersécurité qui protègent les paiements en ligne pour ne plus vous soucier de ce problème.
La bonne vieille technique de la carte et du téléphone volés
Il s’agit évidemment de la méthode de vol la plus visible et la plus flagrante, mais elle existe encore. Les escrocs les plus malins peuvent utiliser les cartes pour effectuer des paiements en ligne en trouvant une boutique en ligne qui ne demande pas à l’utilisateur de saisir d’autres codes de vérification. Une autre technique, certes plus simple mais tout aussi efficace, consiste à utiliser une carte volée pour effectuer un paiement sans contact qui ne requiert pas le code PIN. Il y a généralement une limite pour ce genre de paiement et, dans certains pays, la carte est bloquée après trois ou cinq paiements de ce genre. Au Royaume-Uni, par exemple, une victime peut facilement perdre 500 livres sterling ( 5 x 100 £) à cause de cette technique de vol primitive. Un téléphone a toujours de la valeur pour les escrocs et si Google Pay est activé, l’escroc peut payer sans avoir à débloquer le téléphone tant que le montant ne dépasse pas le seuil établi, et porter encore plus préjudice à la victime.
Des chercheurs en sécurité ont montré que même si une carte est bloquée après avoir saisi le mauvais code PIN trois fois de suite, il est parfois possible de faire des paiements sans contact. L’escroc pourrait aussi échanger certaines données avec le téléphoné bloqué puis modifier l’historique de l’échange afin d’effectuer des paiements occasionnels frauduleux. Heureusement, ces deux types d’attaques ont été détectés par des chercheurs éthiques, donc nous espérons que les escrocs ne les utilisent pas encore.
Comment vous protéger. Il vaut mieux choisir un seuil relativement bas pour les cartes que vous utilisez au quotidien. Si votre banque vous le permet, vous pouvez également établir une limite de paiement basse pour les opérations sans contact. Évidemment, vous devez vous assurer que vous pouvez rapidement augmenter le seuil en cas de besoin. D’autre part, vous pouvez demander une carte virtuelle avec un seuil bas et l’associer à Google/Apple/Samsung Pay. Si vous pouvez configurer l’application de sorte que les paiements ne puissent être effectués que lorsque le téléphone est déverrouillé, faites-le.
Pour conclure, nous constatons que des normes apparaissent dans certains pays afin d’indemniser partiellement ou complètement les victimes de fraude. Pour éviter de vous retrouver dans une telle situation, nous vous conseillons de faire attention aux paiements par carte, de choisir le système de notification le plus rapide (push ou SMS) et de contacter votre banque dès que vous voyez une transaction suspecte.