Aujourd’hui il s’est passé quelque chose d’inattendu. Inattendu car étant quelqu’un d’avisé sur la gestion de risques et curieux de la façon dont on gère la sécurité dans de nombreux domaines, je pensais donc être plus prudent qu’une personne ‘lambda’.

Et il y a un domaine dans lequel je me pensais préparé, car au courant de la plupart des techniques employées par les fraudeurs. C’est la fraude à la carte bancaire.

C’est en consultant mon compte bancaire en ligne que je me suis rendu compte que des opérations frauduleuses avaient été réalisées avec ma carte bancaire… et cette carte est toujours dans mon portefeuille… Comment est-ce possible me demanderez-vous ? Et bien, il y a plusieurs méthodes employées par les fraudeurs pour récupérer vos données de carte bancaire, mais je dois avouer que cette fois-ci, je n’ai rien vu venir.

Le « skimming » est une technique consistant à trafiquer un distributeur de billets en apposant 2 faux dispositifs :

  • Un faux clavier sur l’original qui enregistre les touches entrées (et donc le code de la carte) ou alors une caméra miniature dissimulée sur la face intérieure au-dessus du clavier du distributeur afin de filmer le code entré.
  • Un faux lecteur de carte permettant de copier la bande magnétique de la carte.

skimming

Ces deux dispositifs étant le plus possible fidèles à la réalité, la victime n’y voit souvent que du feu.

Il faut savoir qu’une carte bancaire est un dispositif finalement peu sécurisé, la bande magnétique (la bande noire au dos de votre carte) contient toutes les données de celle-ci, c’est-à-dire son titulaire, son numéro complet ainsi que le CVV (code de vérification au dos) et la date d’expiration.

Des données suffisantes pour par exemple effectuer des transactions sur internet.
Les banques et les grandes entreprises de systèmes de paiements (Visa, Mastercard, etc…) ont cependant mis en place des systèmes de confirmation par SMS ou des cartes de paiement virtuelles afin de faire face au problème mais ce type de fraude reste possible de nos jours.

Mais la fraude dont j’ai été victime aujourd’hui est différente… En effet, je n’ai pas repéré de transactions douteuses venant de sites internet sur lesquels je n’ai jamais rien commandé, mais j’ai constaté que des retraits avaient été faits dans un distributeur à mon insu. 5 retraits pour un total de près de 800€…

Autre type de fraude, aussi efficace voire davantage car le fraudeur n’as pas à se tracasser à trouver une adresse pour recevoir des marchandises frauduleusement achetées sur internet et trouver un moyen de les revendre… Il s’est servi directement en cash au distributeur.

C’est la partie la plus mystérieuse de l’histoire. Les fraudeurs ont très probablement utilisés une « Yes card ». C’est une carte bancaire, copie de celle de la victime, autrement dit, moi 🙁 qui accepte n’importe quel PIN code. Cette technique nécessite évidemment à l’origine de copier les données de la bande magnétique… et je pense avoir un suspect en tête, un magasin de téléphonie mobile, mais impossible de prouver quoi que ce soit. Je pensais cependant que cette faille avait été corrigée.
Je ne pense pas avoir été « skimmé » par un distributeur corrompu car je vérifie toujours les claviers et lecteurs de carte avant de faire quoi que ce soit.

Sachez donc vous protéger en étant prudent lors de vos paiements par carte. Ne laissez pas le vendeur s’absenter quelques secondes avec votre carte ou bien « glisser » la carte dans un ordinateur par exemple. Vérifiez qu’il utilise uniquement le terminal de paiement.

Un dispositif sûr et permettant de protéger et sécuriser (chiffrer) réellement les informations de paiement permettrait d’éviter de genre de fraudes qui consistent bêtement à copier une bande magnétique. Le problème du coût d’une telle solution déployée globalement se pose. Aujourd’hui une carte à puce ne coûte que quelques centimes à fabriquer.

Et vous, vous est-il déjà arrivé une histoire similaire ?