Dans la première partie de notre article, nous vous parlions des technologies utilisées par les criminels pour capter vos informations de carte bancaire. Aujourd’hui, nous vous expliquons comment ces derniers réalisent les vols les plus complexes.
Externaliser les procédés de skimming
La plus grosse partie du travail ne requiert pas de skimmer qualifié. Cependant, certaines opérations y compris l’installation du dispositif, sont assez risquées. Ces actions sont donc parfois confiées à des » spécialistes » externes.
Un professionnel doué passera environ 30 secondes à installer le dispositif de skimming. Il suffit de suivre quelques étapes de préparation, de rassembler certaines informations comme la situation géographique des caméras de surveillance ou les horaires les plus calmes – tout cela avec l’aide d’un assistant à proximité.
Il est également difficile de détecter un installateur expérimenté. Un homme de sang-froid, bien habillé peut déclarer avoir détecté quelque chose de bizarre sur le distributeur automatique et avoir voulu confirmer ses soupçons avant d’appeler la police. Il est alors très difficile de prouver le méfait surtout si le coupable s’est débarrassé de la colle et des appareils d’installation. C’est pourquoi les banques recommandent aux utilisateurs de ne rien toucher de suspect et d’appeler la police directement.
Outre les distributeurs automatiques, les skimmers s’intéressent également à d’autres types de terminaux acceptant les cartes bancaires. Cela inclut les terminaux des stations essence, les billetteries automatiques et en général toutes les sortes de lecteurs de carte. Contrairement aux distributeurs automatiques, ces appareils éveillent moins les soupçons des utilisateurs et ils sont en général moins protégés.
Le moment de la récolte
Dès que le dispositif de skimming est installé, les criminels passent à l’étape suivante de leur coup : la » récolte « . Ils doivent utiliser au mieux leur temps pour cloner autant de cartes que possible avant que leur méfait ne soit découvert : dès que la banque détecte la campagne de skimming, il y a de grandes chances pour que les détenteurs de ces cartes clonées les bloquent. Un complice du criminel se postera également dans une voiture ou un café face au distributeur automatique afin de pouvoir observer la situation.
Ensuite le skimmer le plus radin ira désinstaller le dispositif alors que les plus malins l’abandonneront afin de minimiser les risques de se faire prendre. Dans tous le cas, les bénéfices qu’ils se feront avec ces cartes volées pourraient s’élever à quelques milliers d’euros, ce qui rembourse largement le prix de leur équipement.
Retirer de l’argent depuis des cartes clonées relève d’une autre branche criminelle et il s’agit également d’une tâche extrêmement risquée – c’est pourquoi une partie du crime est souvent externalisée. En règle générale, plusieurs personnes que l’on appelle » mules » sont impliquées dans ce processus.
Les mules donnent parfois simplement l’argent au skimmer, et garde un pourcentage du butin pour eux. Mais il existe d’autres combines dans lesquelles les mules ont acheté des paquets de bandes magnétiques volées et dans lesquelles elles agissent de manière autonome, depuis d’autres régions du monde.
Crudeness is no goodness
La raison pour laquelle voler de l’argent à partir d’une carte bancaire est si facile, dans une mesure très limitée, repose sur la primitivité de la sécurité de ces technologies. Les premières cartes bancaires à bande magnétique ont émergé il y a plusieurs générations, au milieu du siècle passé, quand l’équipement pour voler et cloner des identifiants de carte n’existait pas encore.
Les données enregistrées sur la bande magnétique ne sont en fait protégées que par un simple code PIN court et vulnérable qui sert à justifier les transactions. Plusieurs types de technologie de protection qui sont ensuite apparus, mais ces dernières restent optionnelles.
Il est évident que depuis des années, les systèmes de paiement et les banques tentent d’élaborer des solutions pour remédier à ce problème. Plus robustes, les cartes EMV sont équipées d’une bande magnétique et d’une puce intégrée : ce système est utilisé en Europe depuis maintenant plus de 20 ans.
La différence ici est qu’une puce ne peut pas être clonée de la même façon qu’une bande magnétique. Un distributeur automatique requiert une carte à puce afin de créer un code à usage unique qui pourrait avoir été volé mais ce dernier ne fonctionnera plus pour la transaction suivante.
Les chercheurs en sécurité ont reporté un certains nombres de vulnérabilités sur les cartes EMV mais ces dernières sont très compliquées à utiliser en pratique. Cette évolution pourrait couper court au business des skimmers mais il y a un problème : la migration vers les cartes EMV est un procédé long, coûteux et complexe qui nécessite la collaboration de plusieurs parties.
A reasonable portion of offline paranoia may save money online: https://t.co/ZGkvthc12o
— Eugene Kaspersky (@e_kaspersky) December 18, 2014
Tout doit migrer : les systèmes de paiement, les entreprises concernées, les fabricants de terminaux POS, les distributeurs automatiques et bien d’autres éléments. C’est pourquoi de nombreux pays choisissent de continuer à utiliser les cartes à bande magnétique.
Cela étant dit, il est aussi possible de voler de l’argent à partir de cartes EMV. Afin d’assurer la compatibilité avec certains terminaux, une transaction peut être effectuée en utilisant la bande magnétique au lieu de la puce.
Selon l’équipe de sécurité des distributeurs automatiques en Europe, les skimmers sont plus actifs aux États-Unis. En Asie, ils sont plus actifs en Thaïlande et en Indonésie ; en Europe, la Bulgarie et la Roumanie présentent plus de risques.
Dix #conseils simples pourraient vous éviter d’être victime des #skimmers de distributeurs automatiques
Tweet
Les banques pourront peut-être rembourser l’argent volé par les skimmers, surtout dans les cas où la responsabilité peut être transférée à un autre agent, qu’il s’agisse d’un système de paiement, d’un propriétaire de distributeur automatique ou d’une compagnie d’assurances. Mais il y a de grandes chances pour que le propriétaire de la carte soit reconnu responsable, c’est ce qui s’est produit dans de nombreux cas.
Donc comme d’habitude, s’il vous arrive quelque chose, vous ne pourrez compter que sur vous-même.
Quelques règles de survie
Il n’existe pas de manières fiables à 100% permettant de garantir que votre carte ne sera pas victime de skimmers mais une dizaine de conseils simples vous permettront de réduire les risques.
- Si votre carte n’est pas équipée d’une puce, vous feriez mieux de ne pas l’utiliser du tout. Si vous lui demandez, votre banque pourrait éventuellement vous fournir une carte EMV. L’utilisation d’une puce ne garantit pas une sécurité à 100% mais cela devrait réduire les risques.
- Activer les notifications par SMS afin de mieux suivre les transactions effectuées sur votre compte. Plus vite vous découvrirez le vol, plus de chances vous aurez de récupérer votre argent.
- Si vous ne voyagez pas souvent, renseignez-vous si votre banque peut limiter la région de fonctionnement de votre carte (quand vous partez à l’étranger, vous n’aurez qu’à la réactiver pour le pays dans lequel vous vous rendez). C’est une mesure très efficace qui s’est révélée très efficace dans un certain nombre de pays européens.
- N’utilisez pas une carte qui dispose de beaucoup d’argent dessus. Moins vous réalisez de transactions avec, surtout dans de nouveaux endroits (comme à l’étranger), mieux cela sera. Pour les opérations les plus risquées, nous vous conseillons d’utiliser une carte séparée avec une limite très basse.
Some tips on what to do if your credit card gets hacked, via the @Kaspersky Daily: http://t.co/lnFCmLsJcV
— Brian Donohue (@TheBrianDonohue) November 17, 2014
- Si vous utilisez un distributeur automatique, choisissez un distributeur bien éclairé et situé dans un endroit sécurisé – comme par exemple, dans une banque. De même, évitez d’utiliser un distributeur isolé dans le coin d’un centre commercial.
- Au moment de rentrer le PIN, tenez-vous le plus près possible du guichet automatique afin de pouvoir couvrir le clavier avec votre main. Les films de protection spéciaux sont encore rares et il y a encore de grandes chances pour qu’une caméra ou un voisin espionne votre code PIN. N’oubliez pas de changer régulièrement votre code PIN (que ça soit avec un distributeur de confiance ou avec l’aide d’un employé de banque), surtout après avoir effectué des transactions risquées.
- Prêtez attention au distributeur et à ce qui l’entoure. Tous les skimmers ne sont pas des professionnels et ils n’utilisent pas tous du matériel de qualité. Évitez à tout prix de passer votre carte dans les soi-disant dispositifs de » nettoyage de bande magnétique » situés près des distributeurs automatiques (cela peut paraitre étrange mais de nombreuses personnes se font piéger).
- Comptez tous les billets que vous obtenez. Certains » pièges » sont capables d’attraper les billets de banque. Si un distributeur automatique ne vous rend pas votre carte, cela peut également être une arnaque – appelez la banque immédiatement, sans quitter le terminal. De telles arnaques sont devenues très populaires dans les pays européens après le déploiement des cartes à puce – dans ce cas, les voleurs ont besoin de votre carte.
- Ne laissez pas votre carte quand vous payez dans des restaurants ou des magasins – il existe de nombreux scanners manuels permettant de cloner votre carte et il est facile d’espionner un code PIN.
- Ne montrez pas votre carte à des étrangers et n’envoyez jamais de photos de votre carte, même s’il s’agit d’une seule face. De nombreux sites Web autorisent la finalisation de la transaction sans le code CVV2 qui est imprimé de l’autre côté de la carte, et sans authentification à deux facteurs (avec un mot de passe à usage unique envoyé par SMS).
Restez sur vos gardes. Une carte bancaire est un outil utile mais ses avantages peuvent parfois se retourner contre nous.
N’oubliez pas : il vaut mieux être paranoïaque et ridicule que désolé et fauché.