Services

Tout ce qu’il faut savoir sur le fonctionnement et la prévention du skimming

Le 6 janvier 2022 - 8 minutes de lecture
Skimming

Les progrès technologiques facilitent notre quotidien. Cependant, ils ont entraîné l’apparition de nouvelles formes d’arnaques et de fraudes, à savoir le piratage informatiques. Actuellement, nous assistons à la recrudescence des piratages de cartes bancaires. Parmi les techniques de piratages les plus connues, nous pouvons citer le Skimming, une technique de fraude qui faisait son apparition en 2008. Très connue, cette pratique malveillante se base sur le clonage de la carte bancaire. Si, auparavant, celle-ci ne fonctionne que sur les distributeurs automatiques de billets (DAB), elle se répand désormais sur internet. Pour éviter les mauvaises surprises, il vaut mieux faire le point sur ce type de piratage et connaître les mesures préventives à prendre.

Le Skimming : décryptage

Le mot anglais « Skimming » fait référence à un sport nautique, mais également des fraudes à la carte bleue. Le Skimming désigne une technique de piratage très connue qui se base sur le clonage de la carte bancaire. À noter, c’était en 2008 que cette technique illégale apparait pour la première fois en France.

De manière générale, ce dernier est utilisé par les hackers (ou skimmers) pour détourner les cartes bancaires lors des retraits d’argent auprès des DAB. Ce type piratage se localise également chez les stations d’essence automatisées et chez les commerçants.

Cette technique consiste à copier les pistes magnétiques d’une carte bancaire par le biais d’un lecteur à mémoire inséré dans le DAB. Dès lors que les pirates recevaient ces coordonnées bancaires, ils vont tenter de plagier le code PIN (à 4 chiffres) de la carte. Dans la pratique, ils obtiennent ce code secret grâce à :

  • Une caméra cachée : ils la dissimulent sur un faux plafonnier.
  • Un détournement de clavier : ils installent de faux claviers numériques dans le DAB.

Comment fonctionne le Skimming ?

Il faut savoir que les skimmers ont besoin de deux informations sur votre carte bancaire pour procéder au piratage. Il s’agit effectivement de vos coordonnées bancaires (celles-ci figurent sur la carte bleue) et votre code secret (à 4 chiffres). Pour parvenir à obtenir ces informations, ils vont trafiquer les distributeurs automatiques de billets en apportant quelques modifications.

  • Dans une première lancée, ces derniers vont s’emparer de vos coordonnées bancaires sur votre carte bleue. Pour ce faire, ils retirent le lecteur de carte du DAB et le remplacent par un dispositif de piratage. Lorsque vous insérez votre carte bancaire dans le lecteur de carte (qui n’est plus l’authentique), les skimmers auront facilement accès aux pistes magnétiques de cette dernière. En effet, leur dispositif envoie les données scannées sur un téléphone relié à celui-ci.
  • Dans une seconde lancée, les pirates vont tenter de récupérer votre code secret par le biais d’un dispositif de surveillance. Dans la pratique, ils installent une caméra cachée sur le plafonnier. Sinon, ils posent un faux pavé numérique sur le clavier numérique traditionnel pour vous tromper. Lors du retrait, ce type de clavier lui permet d’avoir une transmission à distance du code secret que vous avez entré. Cependant, il se fait rare que cette ruse est employée vu que la technologie utilisée vaut encore une petite fortune.
  • Dans d’autres cas, les pirates n’ayant pas le moyen d’employer ces techniques utilisent d’autres procédés pour parvenir à ses fins. Cela consiste à voler directement votre carte bancaire. Pour ce coup, ils sont au moins deux : l’un d’eux va détourner votre attention en essayant d’entretenir une conversation avec vous, tandis que l’autre va dérober furtivement votre carte.

Une fois que ces deux informations sont en leur possession, les skimmers vont les placer dans une carte vierge (ou White Carda). Par la suite, ils vendront ces cartes clonées à l’étranger. Dans la pratique, ils visent particulièrement les pays où l’utilisation de la bande magnétique ne requiert pas la puce. Par exemple les États-Unis. La majorité des victimes remarquent que les paiements sont effectués dans un pays où ils n’ont jamais mis les pieds. Heureusement, il est possible de demander un remboursement auprès de l’établissement bancaire.

Le Skimming arrive sur internet : comment est-ce possible ?

Le Skimming passe également par les achats en ligne. Ces derniers temps, les chercheurs de Malwarebytes (une société spécialisée en sécurité informatique) ont découvert que les skimmers attaquent également le monde virtuel. On imagine à tort que ce piratage à la carte bancaire ne fonctionne que dans les distributeurs automatiques de billets.

En effet, les pirates ont trouvé le moyen de cacher leur logiciel de Skimming dans les métadonnées de quelques images se trouvant sur des sites commerciaux. De manière plus précise, les codes malveillants de ces pirates sont dissimulés dans les petites icônes sur le web appelé « favicons ». On trouve ses icônes sur le symbole du site web, sur la barre d’adresse, sur les onglets, dans les signets et les favoris.

Dans la pratique, le Skimming est plus présent sur les e-boutiques moins sécurisés et faciles à détourner. Les skimmers y mettent leur code malveillant pour subtiliser les informations des utilisateurs (identité, adresse postale, etc.), y compris leurs coordonnées bancaires. En ce moment, ils se focalisent plus sur les sites d’e-commerces dont le marché s’avère être important. Tel est, par exemple, le cas du Plugin WooCommerce de WordPress.

Heureusement, un système d’authentification a été mis en place cette année (notamment, depuis le mois de mai 2021). Ce dispositif de sécurité s’applique à tous les achats en ligne de plus de 30 euros. Ce dernier permet de réaliser des vérifications sur l’origine du paiement par internet. Pour effectuer un important achat sur le web, le porteur de la carte bancaire doit désormais répondre à quelques exigences de sécurité qui peuvent être :

  • L’insertion d’une information personnelle du titulaire de la carte en question (code secret, mot de passe, question personnelle, etc.) ;
  • L’usage d’un appareil mobile appartenant seulement au payeur (téléphone, ordinateur, etc.) ;
  • L’ajout d’une caractéristique personnelle (empreinte digitale, reconnaissance faciale ou vocale, etc.).

Dans le cas où l’un de ces éléments se révèlerait faux, l’achat en ligne par carte bancaire sera aussitôt annulé.

Quelles précautions prendre pour minimiser les risques de Skimming ?

Pour les retraits auprès des DAB, voici quelques conseils :

  • En entrant dans le DAB, assurez-vous qu’il n’y a aucune caméra sur le plafond.
  • Avant d’insérer votre carte bancaire, jetez un coup d’œil sur le lecteur de carte. Si ce dernier vous semble suspect (marque de brulure, de rouilles, etc.), n’hésitez pas à changer d’appareil et à prévenir la banque immédiatement.
  • Vous devez en permanent garder votre carte bancaire avec vous où que vous soyez.
  • Il faut que vous cachiez votre code confidentiel à l’abri des regards lors de la saisie.
  • Ne vous laissez pas vous distraire par d’autres personnes durant votre retrait au DAB.
  • Il est aussi recommandé d’utiliser les DAB seulement les jours ouvrables, car c’est durant les jours fériés ou le week-end que les pirates vont installer leur dispositif de Skimming. Les banques sont effectivement toutes fermées pendant ces périodes.

Les mêmes conseils s’appliquent aussi chez les commerçants et dans les pompes à essence automatiques. Cependant, vous devez faire plus attention aux serveurs du commerçant, car ils peuvent être remplacés par les hackers.

Pour les achats en ligne, voilà ce qu’il faut faire :

  • Pour réaliser le virement en ligne, évitez d’utiliser d’autres appareils à part le vôtre. Vous ne devez pas vous servir d’un réseau non sécurisé (comme le réseau Wi-Fi public) ou d’un appareil multimédia partagé. Il faut opter pour une connexion privée et plus sécurisée.
  • Avant de réaliser un paiement en ligne, vous devez toujours vérifier la présence du cadenas sur le site.
  • Lors du paiement, prenez le temps de vérifier si l’adresse du site commence vraiment par « https » (et non par « http »).
  • Durant un achat en ligne, le mieux sera de faire recours à une carte virtuelle (par précaution).

Charles

Rédacteur sur différents médias, dont SEOTECH