Comment repérer et éviter les écrémeurs de cartes de crédit

Le moment où j'ai commencé à m'inquiéter sérieusement des écumoires de cartes de crédit et de cartes de débit n'était pas lorsque tout mon compte bancaire a été transféré en Turquie, ou lorsque j'ai dû remplacer une carte de crédit trois fois en deux mois à cause d'accusations frauduleuses. C'est à ce moment-là que j'ai appris que voler un numéro de carte de crédit est aussi simple que de brancher un lecteur de bande magnétique sur un ordinateur et d'ouvrir un logiciel de traitement de texte. Chaque coup de chiffon crache le numéro de carte de crédit, sans aucune configuration supplémentaire requise. Des dispositifs plus avancés pour voler vos informations sont installés par les criminels directement sur les distributeurs automatiques de billets et les lecteurs de cartes de crédit. On les appelle des écumeurs, et si vous faites attention, vous pouvez éviter d'être victime de ces dispositifs insidieux.

Que sont les skimmers?

Les skimmers sont essentiellement des lecteurs de cartes malveillants connectés aux terminaux de paiement réels afin de pouvoir collecter les données de chaque personne qui passe leurs cartes. Le voleur doit souvent revenir à la machine compromise pour récupérer le fichier contenant toutes les données volées, mais avec cette information en main, il peut créer des cartes clonées ou simplement cambrioler des comptes bancaires pour voler de l’argent. La partie la plus effrayante est peut-être que les skimmers n'empêchent souvent pas le distributeur de billets ou le lecteur de carte de crédit de fonctionner correctement, ce qui les rend plus difficiles à détecter.

Selon Stefan Tanase, chercheur en sécurité chez Kaspersky Lab, les attaques classiques par écrémage sont là pour rester et resteront probablement un problème même maintenant que les banques ont opté pour la carte à puce EMV. Même si les cartes ont une puce, les données seront toujours sur la bande magnétique de la carte pour être rétro-compatibles avec les systèmes qui ne peuvent pas gérer la puce, nous a-t-il dit. Même maintenant, longtemps après le déploiement des cartes EMV aux États-Unis, certains marchands exigent toujours des clients qu’ils utilisent la piste magnétique.

Le skimmer ATM typique est un petit appareil qui s’adapte à un lecteur de carte existant. La plupart du temps, les assaillants placent également une caméra cachée quelque part dans le voisinage afin d’enregistrer les numéros d’identification personnels, ou codes PIN, utilisés pour accéder aux comptes. La caméra peut se trouver dans le lecteur de carte, au sommet du guichet automatique ou même au plafond. Certains criminels installent un faux clavier NIP sur les claviers réels pour capturer directement le code PIN, évitant ainsi le recours à une caméra.

La photo ci-dessus montre un écumeur utilisé dans un guichet automatique. Vous voyez ce bit jaune encombrant bizarre? C'est le skimmer. Celui-ci est facile à repérer car sa couleur et son matériau sont différents de ceux de la machine cible, mais il existe d'autres signes indicateurs. Sous la fente où vous insérez votre carte, des flèches surélevées sont insérées dans le boîtier en plastique de la machine. Vous pouvez voir à quel point les flèches grises sont très proches du boîtier du lecteur jaune, se chevauchant presque. C’est un signe qu’un skimmer a été installé par-dessus l’ancien, car le lecteur de carte réel aurait un espace entre le logement de carte et les flèches.

Des skimmers aux miroitants

Lorsque les banques américaines ont finalement rattrapé le reste du monde et commencé à émettre des cartes à puce, la sécurité des consommateurs en a été un grand avantage. Ces cartes à puce, ou cartes EMV, offrent une sécurité plus robuste que les pistes magnifiquement simples des cartes de crédit plus anciennes. Mais les voleurs apprennent vite et ont eu des années pour perfectionner leurs attaques en Europe et au Canada qui ciblent les cartes à puce.

Au lieu des skimmers, qui se trouvent au-dessus des lecteurs de bandes magnétiques, des miroirs sont à l'intérieur des lecteurs de cartes. Ce sont des appareils très, très minces et ne peuvent être vus de l'extérieur. Lorsque vous insérez votre carte, le miroitement lit les données de la puce de votre carte, de la même manière qu'un skimmer lit les données sur la piste magnétique de votre carte.

Il y a cependant quelques différences clés. D'une part, la sécurité intégrée fournie avec EMV signifie que les attaquants ne peuvent obtenir les mêmes informations que par un écumeur. Brian Krebs, chercheur en sécurité, explique sur son blog que "les données collectées par Shimmers ne peuvent pas être utilisées pour fabriquer une carte à puce, mais pourraient être utilisées pour cloner une carte à bande magnétique. est reproduite dans la puce sur des cartes à puce, la puce contient des composants de sécurité supplémentaires qui ne se trouvent pas sur une bande magnétique."

Le vrai problème est que les miroirs sont beaucoup plus difficiles à détecter car ils se trouvent dans des guichets automatiques ou des guichets automatiques. Le miroitement illustré ci-dessous a été trouvé au Canada et signalé à la GRC. C'est un peu plus qu'un circuit intégré imprimé sur une fine feuille de plastique. Si les propriétaires de l'appareil compromis n'avaient pas fait attention, cela aurait pu voler les informations à tous ceux qui les utilisaient.

Les fabricants de distributeurs automatiques de billets n'ont pas endormi ce genre de fraude. Les nouveaux guichets automatiques disposent de dispositifs antitampering robustes, comprenant parfois des systèmes radar destinés à détecter des objets insérés ou attachés au DAB. Cependant, un chercheur de la conférence sur la sécurité Black Hat a pu utiliser un dispositif radar embarqué dans un guichet automatique pour capturer des codes confidentiels dans le cadre d'une escroquerie complexe.

Les menaces sont réelles et évoluent. C'est pourquoi il est si important de vérifier rapidement tout distributeur de guichet automatique ou de carte de crédit avant de l'utiliser.

Vérifier la falsification

Lorsque vous vous approchez d'un guichet automatique, vérifiez qu'il ne présente aucun signe d'altération en haut de celui-ci, près des haut-parleurs, du côté de l'écran, du lecteur de carte et du clavier. Si quelque chose semble différent, tel qu'une couleur ou un matériau différent, des graphiques mal alignés ou tout ce qui ne semble pas bien, n'utilisez pas ce guichet automatique. Il en va de même pour les lecteurs de cartes de crédit à la caisse ou aux stations-service.

Si vous êtes à la banque, c'est une bonne idée de regarder rapidement le guichet automatique à côté du vôtre et de les comparer. S'il existe des différences évidentes, n'utilisez ni l'une ni l'autre et signalez la modification suspecte à votre banque. Par exemple, si un guichet automatique a une entrée de carte clignotante pour indiquer où vous devez l'insérer et que l'autre guichet dispose d'un lecteur de carte, vous savez que quelque chose ne va pas. La plupart des skimmers sont collés sur le lecteur existant et masqueront l'indicateur clignotant.

Si le clavier ne vous semble pas correct, trop épais peut-être, il peut y avoir un recouvrement superposé au code PIN, alors ne l'utilisez pas.

Remuer tout

Même si vous ne pouvez pas voir les différences visuelles, poussez tout, dit Tanase. Les guichets automatiques sont solidement construits et ne contiennent généralement pas de pièces détachées. Les lecteurs de cartes de crédit ont plus de variations, mais quand même: Tirez sur les parties saillantes comme le lecteur de cartes. Voir si le clavier est solidement attaché et juste une pièce. Est-ce que quelque chose bouge quand vous le poussez?

Les skimmers lisent la bande magnétique au fur et à mesure que la carte est insérée, alors laissez-la bouger un peu comme vous l'avez insérée, conseilla Tanase. Le lecteur a besoin que la bande se mette en un seul mouvement, car si elle n’est pas droite, elle ne peut pas lire les données correctement. Si le guichet automatique est du genre où il prend la carte et la retourne à la fin de la transaction, le lecteur est à l'intérieur. Remuer la carte pendant que vous la saisissez dans la fente n'interférera pas avec votre transaction, mais alourdira l'écumoire.

Cette tactique ne fonctionnera pas avec les miroirs et ne fonctionnera pas avec les guichets automatiques qui capturent et conservent votre carte pendant le traitement de votre transaction. Cependant, il existe toujours des moyens de vous protéger lorsque vous utilisez ces machines.

Pensez à travers vos pas

Chaque fois que vous entrez le code PIN de votre carte de débit, supposez que quelqu'un le regarde. Peut-être que c'est par-dessus votre épaule ou à travers une caméra cachée. Couvrez le clavier avec votre main lorsque vous entrez votre code PIN, a déclaré Tanase. C'est une bonne politique même si vous ne remarquez rien d'étrange à propos du guichet automatique. L'obtention du code PIN est essentielle, car les criminels ne peuvent pas utiliser les données de bande magnétique volées sans celui-ci, nous a expliqué Tanase. Bien entendu, cela suppose que l’attaquant utilise une caméra et non une superposition pour obtenir votre code PIN.

Les criminels installent fréquemment des écrémeurs sur des guichets automatiques ne se trouvant pas dans des endroits très fréquentés, car ils ne veulent pas être observés lors de l'installation de matériel malveillant ou de la collecte des données collectées. Les guichets automatiques situés à l'intérieur des banques sont généralement plus sûrs grâce à toutes les caméras, bien que certains criminels audacieux réussissent toujours à les installer. Le guichet automatique à l'intérieur d'une épicerie ou d'un restaurant est généralement plus sûr que celui situé à l'extérieur sur le trottoir. Arrêtez-vous et considérez la sécurité du guichet avant de l'utiliser.

Cela dit, aucun endroit n’est à l’abri d’un criminel entreprenant. Prenez cette vidéo, par exemple. Le voleur installe une écumoire sur l'unité de point de vente à l'intérieur d'une épicerie en quelques secondes.

Les chances d'être touché par un skimmer sont plus élevées le week-end que la semaine dernière, car il est plus difficile pour les clients de signaler les guichets automatiques suspects à la banque. Les criminels installent généralement des écumoires le samedi ou le dimanche, puis les retirent avant la réouverture des banques le lundi.

Dans la mesure du possible, n'utilisez pas la bande magnétique de votre carte pour effectuer la transaction. Pour les lecteurs de carte de crédit dans les magasins, sentez sous le clavier NIP un emplacement pour insérer votre carte et sa puce EMV à lire. Lorsque vous utilisez votre puce EMV, la carte est autorisée sur l'appareil et vos informations personnelles ne sont jamais transmises. Cela force les criminels à attaquer le fonctionnement interne des lecteurs compatibles EMV. Bien qu'il soit possible de craquer des lecteurs EMV, c'est beaucoup plus difficile que l'écrémage sur bande magnétique.

Si le terminal de carte de crédit accepte les transactions NFC, envisagez d'utiliser Apple Pay, Samsung Pay ou Android Pay. Ces services numérotent les informations de votre carte de crédit afin que vos informations personnelles ne soient jamais exposées. Si un criminel intercepte les informations d'une manière ou d'une autre, il ne recevra qu'un numéro de carte de crédit virtuelle inutile. Notez que sur certains appareils, Samsung Pay peut émuler une transaction à piste magnétique si vous tenez votre téléphone par dessus le lecteur de carte. C'est beaucoup plus sûr que d'utiliser votre carte de crédit réelle.

Un scénario qui nécessite souvent l’utilisation de votre bande magnétique consiste à payer le carburant à une pompe à essence. Celles-ci sont monnaie courante pour les attaques, car beaucoup ne prennent pas encore en charge les transitions EMV ou NFC et parce que les attaquants peuvent accéder aux pompes sans se faire remarquer. C'est beaucoup plus sûr d'aller à l'intérieur et de payer le caissier. S'il n'y a pas de caissier en service, suivez les mêmes conseils d'utilisation des guichets automatiques et examinez le lecteur de carte avant de l'utiliser.

Attaques numériques et solutions

Le récent piratage de British Airways a introduit un nouveau concept: le skimmer à carte numérique. Au lieu d'un périphérique physique pour capturer les informations de votre carte, ou d'un faux site Web d'hameçonnage qui vous incite à saisir vos données, un skimmer numérique est un logiciel malveillant injecté dans un site Web légitime.

La lutte contre ce type d’attaque appartient en définitive aux entreprises de veiller à la sécurité de leurs sites et de leurs services. Mais les consommateurs peuvent faire certaines choses pour se protéger. Une option consiste à utiliser des cartes de crédit virtuelles. Ce sont des numéros de cartes de crédit factices liés à votre compte de carte de crédit réel. Si l'une d'entre elles est compromise, vous n'avez pas besoin d'une nouvelle carte de crédit, il vous suffit de générer un nouveau numéro virtuel. Certaines banques, comme Citi, proposent cette fonctionnalité. Demandez donc à la vôtre si elle est disponible.

Si vous ne pouvez pas obtenir une carte virtuelle d'une banque, Abine Blur propose aux abonnés des cartes de crédit masquées. Ce sont des cartes de crédit prépayées que vous pouvez créer à la volée et utiliser pour vos achats en ligne. Abine fournit même un faux nom et une adresse de facturation à utiliser, dissimulant davantage vos informations personnelles. Si l'un d'entre eux est exposé, vous ne perdrez ni argent ni informations privées.

Une autre option consiste à s'inscrire aux alertes de carte. Ally Bank, par exemple, enverra une alerte push à votre téléphone chaque fois que votre carte de débit est utilisée. C'est pratique, car vous pouvez identifier immédiatement les achats factices. Si votre banque propose une option similaire, essayez de l'activer.

Restez au courant

Si vous ne remarquez pas un skimmer de carte et que les données de votre carte sont volées, prenez courage. Tant que vous signalez le vol à l'émetteur de votre carte (pour les cartes de crédit) ou à la banque (où vous avez votre compte) dès que possible, vous ne serez pas tenu responsable du montant perdu et votre argent sera restitué. En revanche, les clients commerciaux ne bénéficient pas de la même protection juridique et peuvent avoir plus de difficultés à récupérer leur argent.

Aussi, essayez d'utiliser une carte de crédit chaque fois que possible. Une transaction de débit est un transfert en espèces immédiat et nécessite de déposer une réclamation auprès de la FDIC qui peut prendre des semaines pour être traitée. Les transactions par carte de crédit peuvent être arrêtées et inversées à tout moment, ce qui incite les commerçants à mieux sécuriser leurs guichets automatiques et leurs terminaux de point de vente.

Dans les cas de fraude, il est très important de faire rapport dans les délais. Veillez donc à surveiller vos transactions par carte de débit et de crédit. Les applications de finances personnelles telles que Mint.com peuvent vous aider à faciliter le tri de toutes vos transactions.

• Abine Blur Premium Abine Blur Premium
• Feds met en garde contre le piratage des guichets automatiques aux États-Unis. Feds met en garde sur le piratage des banques aux États-Unis.
• Regarder un écumeur de cartes s'installer en quelques secondes Regarder un écumeur de cartes s'installer en quelques secondes

Enfin, faites attention à votre téléphone. Les banques et les sociétés émettrices de cartes de crédit appliquent généralement des règles très actives en matière de détection des fraudes et vous contacteront immédiatement, généralement par téléphone ou par SMS, si elles remarquent quelque chose de suspect. Répondre rapidement peut signifier que vous devez arrêter les attaques avant qu'elles ne vous concernent. Gardez donc votre téléphone à portée de main.

Rappelez-vous simplement que si quelque chose ne va pas avec un guichet automatique ou un lecteur de carte de crédit, ne l'utilisez pas. Chaque fois que vous le pouvez, utilisez la puce au lieu de la bande sur votre carte. Votre compte bancaire vous en remerciera.