Touche pas à mon "PoS" ! Les arnaques liées aux cartes bancaires

Announcements
1

 

6FevPOS_concept.jpg

Le vol de carte de crédit qui fut une des premières formes de cybercriminalité, est toujours d’actualité.

 

Des gangs de cybercriminels organisent des opérations sophistiquées pour voler de grandes quantités de données, et ensuite les revendre sur les marchés noirs à des prix qui varient selon le « niveau » de carte.

 

 

 

 

 

Comme ici par exemple (l'image montre une liste de prix de vente de codes CCV - le code de sécurité des cartes de crédit):

 

 

6FevCVV2for-sale.png

 

 

Il y a différents schémas que les attaquants peuvent suivre pour dérober des informations :

  • Cibler la base de données des cartes de crédit, là ou elle se trouve
  • Vous les demander directement (phishing ou hammeçonage…) ou pas (cheval de Troie)
  • Les distributeurs automatiques de billets (DaB)
  • Le Terminal de Paiement (TPE), point de vente (TPV) ou « Point of Sales System » (POS) in ingliche.

Les TPE sont des machines spécialement configurées avec un logiciel de vente et équipées d’un lecteur de carte. Les données enregistrées sur la piste magnétique peuvent être volées en installant un dispositif dans le lecteur lui-même : c’est ce que l’on appelle le « Skimming » (to skim = écrémer), qui nécessite donc d’avoir un accès physique au terminal, tel qu’un distributeur de billets :

 

J’aime bien cette vidéo de la Police Suisse qui explique simplement la méthode – Ah oui, Bancomat = Distributeur et code NIP = PIN :smileywink:

 

 

 

Sinon, il y a toujours la délicate méthode de la…voiture bélier :-/

 

6Fevbelier.jpg

 

 

 

Pour le lecteur de cartes, c’est carrément l’échange chez le commerçant qui est privilégié. Ici, l’un des 2 est modifié…mais lequel ? (réponse plus bas)

 

6fevskimming-card-image.jpg

 

Ce type de méthode (avec accès physique) ne permettant pas de déploiement à une large échelle, on a abouti au développement de maliciels pouvant copier le contenu de la piste magnétique au moment de sa lecture. Les premières attaques du genre furent détectées en 2005, à travers une série de campagnes orchestrées par Albert Gonzalez et ayant mené au vol de plus de 170 millions de cartes…et 20 ans de prison.

 

Il est cependant FONDAMENTAL de noter que ces attaques ne fonctionnent pas (encore ?) avec cartes « à puces » (95% des cartes utilisées en Europe) ET terminaux de paiement ou de retrait compatibles ! Attention car du coup, généralement pas de protection avec une carte européenne sur un terminal US.

 

Même si quelques failles ont déjà été identifiées, cela reste la meilleure protection à l’heure actuelle, sauf dans le cas des achats en ligne ou l’authentification à double facteur devrait être la norme.

 

Les derniers évènements vont accélérer le déploiement de ces cartes « Chip&Pin » aux US, à ce jour très en retard sur le reste du monde (CF le document de la Smart Card Alliance).

 

Une étude plus détaillée de cette typologie d’attaque est disponible ici : Attacks on Point of Sales Systems

 

 

 

« L’informatique n’est pas une science exacte, on n’est jamais à l’abri d’un succès. »

 

 

 

* Solution : celui de gauche est le faux. A noter que la carte rentre plus profondément dans le lecteur; c’est un indice à repérer.

 

 

[source: Helloblog.fr, 6 février 2014]