Techniques de piratage au distributeur automatique de billets

Les gens sont tous sur leurs gardes contre les pickpockets. Et même si on ne vous a pas avertis, enfant, de surveiller vos sacs à l'extérieur, tôt ou tard, vous apprenez cette simple règle. Il en va de même pour les hackers. Même les enfants savent que les pirates informatiques font leurs méfaits sur Internet. Malheureusement, car le risque de devenir victime de ces dispositifs d'escroquerie est assez élevé. Ces appareils de Cardern sont spécialisés dans le vol de données de cartes de crédit et de débit à l'aide de petits matériels cachés installés dans les distributeurs automatiques.

Et malgré les efforts combinés de la police, des banques et des fournisseurs de systèmes de paiement, le montant volé sur les comptes de cartes chaque année continue d'augmenter. Les skimmers sont un peu comme les pickpockets (ils sont tout aussi pratiques) et un peu comme les pirates informatiques (leurs combines ne sont pas possibles sans quelques astuces de haute technologie et de PC).

Les manœuvres frauduleuses des fraudeurs

Vous pouvez devenir rapidement une victime si vous utilisez votre carte pour retirer de l'argent. Si la carte n'est pas équipée d'une puce, elle est également plus dangereuse pour vous. Les cartes sans puce sont beaucoup plus faciles à utiliser en cas de vol. Et c'est encore plus dangereux si vous ne laissez pas votre banque vous informer des transactions par SMS, si vous utilisez votre carte à un distributeur automatique dans une rue isolée et si vous entrez votre code PIN assez ouvertement. Les écrémeurs vous remercieront un jour.

Mais sérieusement : l'escroquerie aux écrémeurs a augmenté de façon spectaculaire ces dernières années et s'est énormément développée. Le principe reste le même : vous utilisez des techniques cachées pour lire les données sur la bande magnétique de la carte, voler le code PIN, cloner la carte et l'utiliser pour retirer de l'argent du compte correspondant. Cependant, les techniques de vol de données ont considérablement évolué. C'est juste un business. Il fut un temps où les skimmers étaient constitués de lecteurs de cartes faits maison et ce matériel rudimentaire était placé devant les fentes à cartes des distributeurs de billets.

Les fraudeurs risquaient d'être pris en train de retirer de l'argent manuellement. Mais aujourd'hui, c'est différent. Les auteurs qui fabriquent leurs propres lecteurs de cartes sont disparus. Aujourd'hui, l'écrémage est un processus bien organisé et hautement automatisé. Le premier maillon de la chaîne de processus est constitué par les producteurs de solutions matérielles finies, fabriquées à partir de composants disponibles partout. La vente et le paiement sont effectués en ligne, et les marchandises sont envoyées par un service de messagerie, ce qui est plus sûr pour les criminels.

Pour voir à quel point l'écrémage est populaire auprès des criminels, il suffit de lancer une recherche sur Internet. Les kits d'écrémage comprenant un lecteur de cartes, un clavier (vanity panel) pour intercepter les codes PIN, ainsi qu'un dispositif et un logiciel pour cloner les cartes sont vendus pour environ 1 500 à 2 000 dollars. Il y a quelques années, l'expert en sécurité Brian Krebs a estimé le prix de ces kits à 10 000 dollars. Les acheteurs de ces kits n'ont même pas besoin d'être des pirates informatiques expérimentés, car ils reçoivent des instructions détaillées qui comprennent même des chapitres sur les meilleures pratiques. Les instructions sont si précises qu'elles comprennent également des recommandations pour la première utilisation avec des piles, afin que les utilisateurs bénéficient de la plus longue durée de vie possible des piles!

Merveilles technologiques

Le développement technique, associé à la forte demande, a également alimenté le développement de composants électroniques à des fins illégales. Les experts en sécurité recommandent de toujours vérifier les DAB pour détecter les irrégularités, mais cette recommandation deviendra obsolète avec le temps.

Parce que les dealers criminels expérimentés vendent du matériel qui peut difficilement être distingué des composants réels des DAB. Même un utilisateur très prudent ne pourrait pas les distinguer. La fausse fente pour carte est faite du même plastique et a la même couleur, seule la forme est légèrement différente.

La similarité est obtenue parce que les criminels copient exactement les éléments des distributeurs automatiques de billets très répandus. Bien entendu, les banques utilisent également des méthodes anti-décrochage. Toutefois, il existe également des lecteurs de cartes qui sont installés dans les fentes des distributeurs automatiques. Cette nouvelle méthode a été mentionnée dans un rapport de l'organisation à but non lucratif European ATM Security Team. Pire encore, certains de ces appareils ne prennent même pas la peine de lire la bande magnétique des cartes, mais utilisent à mauvais escient les ressources informatiques du distributeur pour le faire !

Et l'extraction manuelle des données volées est dépassée. Les modèles actuels sont équipés de modules GSM qui cryptent les données des bandes magnétiques (oui, les skimmers doivent aussi être protégés de leurs concurrents !) et les envoient sur les réseaux mobiles normaux.

Attention à votre code PIN

Voler le code PIN est le maillon faible de la chaîne de traitement des écrémeurs. Pour connaître le code PIN, les auteurs utilisent souvent des mini-caméras ou même des appareils mobiles normaux comme l'iPod Touch, qui est connu pour sa faible hauteur et sa batterie puissante.

Une caméra est installée au-dessus du clavier ou dans la pièce. Les auteurs aiment aussi les kiosques à brochures, où les banques exposent généralement leurs brochures et prospectus de marketing. Comme les gens y sont habitués, ils ne sont pas perçus comme dangereux autour des distributeurs automatiques de billets.

Mais si vous couvrez le clavier avec votre main lorsque vous retirez de l'argent, les caméras ne sont d'aucune utilité. En outre, les vidéos ne sont pas très pratiques pour l'envoi ou le traitement et nécessitent beaucoup de travail manuel.

Les panneaux extrêmement fins, appelés vanity panels pour les claviers des distributeurs automatiques de billets, sont également de moins en moins chers et sont désormais disponibles sur le marché noir pour moins de 1 000 euros, ce qui aggrave encore la situation. En effet, même le fait de couvrir le clavier ne sert à rien, car le panneau enregistre votre code PIN. L'envoi par SMS du code PIN à quatre chiffres à la base de données des écrémeurs est bien sûr beaucoup plus facile que de devoir regarder et évaluer de longues vidéos.

L'ensemble du processus illégal devient beaucoup plus automatisé. Bien sûr, le Vanity Panel est visible au-dessus du clavier, mais pratiquement aucun client de la banque n'examine le clavier de si près qu'il le remarquerait. De haut en bas, l'ensemble semble tout à fait normal, car les Vanity Panels sont faits du même métal et des mêmes couleurs que les vrais claviers de distributeurs automatiques.

Il y a autre chose que les écrémeurs adorent faire. Ils protègent les logiciels qu'ils utilisent pour décrypter et cloner les données. Ainsi, les cardeurs se protègent des concurrents et de la police. Si un mot de passe erroné est saisi pour le logiciel, le logiciel d'écrémage n'informe pas le contrevenant que le mot de passe est erroné, mais s'éteint simplement de lui-même. Si un mot de passe faux et plausible est donné à la police, le délinquant peut dire que le programme n'est qu'un logiciel inoffensif qu'il a récemment téléchargé. Oh, dommage, ça ne démarrera pas du tout... Pour prouver que le programme a été utilisé pour des activités illégales, les forces de l'ordre devraient engager des spécialistes qualifiés pour l'analyse du code, ce qui est long et fastidieux.

Mais la technologie n'est qu'une partie de l'histoire. De nombreuses activités d'écrémage sont encore manuelles et assez risquées.