Les vols de cartes et données bancaires

Avec une estimation de perte, à plus de 500 millions d’euros par an, la France se place dans les premiers pays touchés par le vol de cartes bancaires.
Ce phénomène se nomme carding et existe depuis longtemps. 
Bien souvent, les victimes n’ont pas trop d’idées sur les  méthodes utilisées, on pense aux trojans et infections de son ordinateur mais les sources pour obtenir vos cartes bancaires sont plus diverses.

Voici un dossier concernant les méthodes utilisées par les cybercriminels pour voler les cartes bancaires.

Les vols de cartes et données bancaires
Les vols de cartes et données bancaires

Introduction

Le carding peut aller de méthodes artisanales par des personnes isolées à des méthodes plus sophistiquées provenant de groupes structurés.
Vos informations de cartes bleues, vous les manipuler souvent : chez un commerçant, dans un distributeurs de banques, sur internet ou parfois par téléphone lors d’une commande.

Tous ces transactions reposent sur des chaînes différentes.
Par exemple, lors d’un paiement chez un commerçant, le terminal de paiement (TPE) lit et stocke temporairement vos données bancaires.
Une fois par jour ou la nuit, ces données aux serveurs bancaires une fois par jour lors de la télé-collecte (par ligne téléphonique, GPRS ou 3G).
Ainsi, vos informations bancaires transissent par différents acteurs, du commerçant qui achète le TPE à un prestataire et les banques qui s’occupent de gérer les transactions.

La récupération des données peut donc se faire de plusieurs manières pour ensuite :

  • de la revente sur internet, il existe des sites spécialisées pour cela (Darknet, forum underground etc).
  • créer un clone de votre carte pour effectuer des paiements/retrait avec et/ou revendre celle-ci.

De l’autre côté, des « clients » peuvent acheter des cartes sur internet pour effectuer des paiements en ligne ou chez un commerçant mais aussi revendre ces cartes à leurs tours pour se faire un petit business.
Enfin, ces cartes volées peuvent servir aussi à d’autres opérations malveillants, par exemple, louer des serveurs en ligne pour effectuer des attaques informatiques.

Bref, il existe tout un business autour de ces vols que nous détaillerons pas.

Phishing

Le phishing ou hameçonnage en français sont des attaques et technique qui visent à subtiliser des données en trompant les internautes.
L’attaque consiste à se faire passer pour une entité connue (banque, FAI, EDF, Paypal, Ebay etc) et demander des informations à l’utilisateur.
Le serveur étant contrôle par le pirate, ce dernier récupère très facilement les données.

De nos jours, les internautes connaissent bien le phishing et le hameçonnage.
Toutefois, vous pouvez lire notre dossier sur ces attaques : Le phishing ou hameçonnage

Trojan

C’est aussi une méthode connue des internautes : Les trojans et virus .
Il existe notamment des trojans spécialisés dans dans la récupération de données bancaires : Trojan Banker : botnet spécialisé dans le vol de compte bancaire.
Ces trojans sont capables de récupérer, falsifier les données bancaires lors de la transaction.

Plus proche du phishing, certains malwares redirigent aussi vers de fausses pages de paiement banques.
Notamment les Trojan Banker Android utilisent actuellement beaucoup ces méthodes : Trojan-Banker.AndroidOS.Acecard : Un trojan évolué
Ces pages reprennent à l’exactitude les sites de paiements classiques.
De plus, le trojan peut falsifier l’adresse afin que la victime ne se rende compte de rien.

Ces pages reprennent bien entendu la charte graphique de la banque pour ne pas éveiller les soupçons.
Dans un autre style par le passé, on a vu aussi des malwares ouvrir des pages demandant les informations bancaires lorsque vous surfez sur des sites légitimes (ebay, SNCF etc).
Exemple : Ebay/Paypal Phishing : Confirm your Identity

Image

Une vidéo d’un Trojan RAT avec des fonctionnalités de keylogger et la possibilité de faire des captures d’écran :

Lorsque vous effectuez des achats en ligne, pensez à bien vérifier que vous êtes bien sur un site sécurisé dits « HTTPS ».
Plus de conseils sur la page : Les conseils lors des achats sur internet

Ici il s’agit donc d’utiliser des trojans pour voler les informations à la source, le propriétaire de la carte.
Mais les trojans peuvent aussi visés d’autres maillons de la chaîne comme les systèmes de paiements ou les réseaux de ces acteurs (voir plus bas, les points de paiements).

Skimming

Le skimming consiste à manipuler les transactions des guichets automatiques (distributeur de billets ou de paiement par CB, terminaux de paiements (TPE), chez les commerçants etc).
Les méthodes utilisées sont diverses et variées, selon l’imagination des pirates.

Distributeur de billets

Les distributeurs de billets sont la cible des pirates, cela afin de récupérer les informations bancaires.
Pour cela, diverses méthodes sont utilisées comme insérer une caméra pour filmer les codes saisis par les clients.
Ces caméras sont très petites et relativement difficiles à voir.

Une caméra placée sur un distributeur de billets
Une caméra placée sur un distributeur de billets

Il est aussi possible de détourner les frappes claviers du distributeur en remplaçant le clavier :

Un clavier modifié sur un distributeur de billet
Un clavier modifié sur un distributeur de billet

Le lecteur de carte du distributeur peut-être remplacé, détourné afin d’enregistrer les informations de carte bancaires comme la piste magnétique, dans un disque dur ou micro-USB inséré dans le lecteur.
Ainsi, les escrocs peuvent récupérer, durant la nuit, toutes les transactions effectuées sur le distributeur durant la journée.

La vidéo suivante montre un dispositif de skimming et le principe :

et cette vidéo montre comment un escroc place un système de skimming :

Vous avez d’autres exemples de méthodes sur la page suivante (en anglais) : http://www.gizmodo.com.au/2014/09/the-terrifying-evolution-of-atm-skimmers/

On parle de ici de distributeurs de billets, mais vous pouvez avoir le même phénomène sur tout autre borne de paiement qui utilise une carte bancaire, comme une pompe à essence ou les parking payants.

Quelques conseils pour effectuer ses retraits de billets :

  • Préférez effectuer vos retraits à l’intérieur de la banque plutôt qu’à l’extérieur. Rentrer dans une banque pour mettre en place et retirer son système peu dissuader.
  • Dissimulez votre main au moment de composer votre code secret. Ainsi, même avec la bande magnétique copiée, les fraudeurs n’auront pas le code.

Chez les commerçants

Il existe le même phénomène de skimming avec les points de paiement (POS pour point-of-sale-software). Le but ici est de s’attaquer au bout de la chaîne, c’est à dire les terminaux de paiements (TPE) des commerçants.
Les commerçants peuvent utilisés des terminaux modifiées, avec ou sans leurs accords, ainsi les transactions et informations bancaires peuvent être interceptées.
Cela peut aller à des achats de terminaux modifiés  par le commerçant depuis internet ou par des grossistes qui se font démarcher par des groupes de cybercriminels.

Schéma de fraude sur des TPE
Schéma de fraude sur des TPE

Et puis, il y a les actes délibérées au sein d’un commerçant.
Les TPE peuvent aussi être modifiés à l’aide de complices pour ajouter une technologie Bluetooth. Les escrocs n’auront plus qu’à passer près des commerces avec ces dispositifs pour récupérer les données bancaires.

Un employé mal intentionné peut noter le numéro de la carte et le CV ou passer celle-ci dans un skimmer qui permet d’enregistrer les informations de la bande magnétique, exactement comme pour les distributeurs de billets.
Enfin, une dernière méthode consiste simplement à récupérer les données bancaires contenues dans des applications (agence de voyages, hôtel etc).

Surveillez de près les transactions réalisées chez un commerçant. Ne le laissez pas emporter votre carte bancaire hors de votre vue.

Les points de paiements (POS)

Les points de paiement fonctionnent à travers des réseaux, parfois ces réseaux ne sont pas totalement sécurisés.
Les terminaux de paiement, eux même, fonctionnant comme des objets connectés (IoT) souvent le mot de passe utilisés est celui par défaut, ou encore,ces derniers possèdent des vulnérabilités.
En 2012, deux roumains ont été arrêtées pour avoir pu voler des informations bancaires d’une centaine de restaurants subway (146 000 cartes bancaires) : Breach Exposes POS Vulnerabilities

A partir de 2013,  des malwares spécialisés dans les attaques contre des PoS apparaissent : GamaPoS, BlackPOS, NitlovePOS.
il s’agit ici de s’attaquer plutôt au réseau des organisations de paiements. Le but ici est de voler des informations qui peuvent, ensuite par rebonds permettre de compromettent d’autres parties du réseau et potentiellement infecter des serveurs qui gèrent les transactions de paiements.
Ces serveurs peuvent être sous Windows. A partir de là, il est possible d’intercepter les transactions qui seront récupérées par les cybercriminels.
Cela comprend bien entendu les cartes bancaires.

2015 des groupes ont piratés des réseaux pour infiltrer des terminaux de paiements et détourner les requêtes.
Ici, il s’agit d’attaques ciblées contre les réseaux de paiement.
Trend-Micro a très largement publiés ces attaques :

Schéma contre un réseau de paiement
Schéma contre un réseau de paiement

Il reste enfin le cas des piratages et vols de données massives directement à la banque.
Novembre 2016, 40 000 comptes de la banque Tesco (anglaise) piratée.

Liens

(Visité 1 747 fois, 4 visites ce jour)