On se méfie tous des pickpockets. Et bien que dans votre jeunesse, personne ne vous ait appris à vous protéger des pickpockets, la vie et l’expérience s’en sont chargé. Et bien pour les hackers, c’est la même chose. De nos jours, certains pirates diffusent leurs activités sur Internet et ces vidéos arrivent même sur les écrans des internautes les plus jeunes.
Mais les skimmers jouissent d’une popularité très limitée. Dommage, car vous avez plus de risques de tomber dans un de leurs pièges. Ce type de pirates est spécialisé dans le vol de cartes de crédit par le biais d’une miniature et du vol de programmes installés sur les distributeurs automatiques. Et malgré les efforts des forces de l’ordre, des banques et des systèmes de paiement ; les sommes d’argent volées à partir de comptes en banque ne cessent d’augmenter.
Les skimmers ont quelques points communs avec les pickpockets (quelques connaissances en chiromancie), et dans une moindre mesure avec les pirates (pour arriver à leurs fins ils doivent utiliser la technologie high-tech et s’y connaître un peu en informatique).
Vous pouvez devenir l’une de leurs victimes simplement en utilisant votre carte bancaire dans un distributeur automatique. Si votre carte n’est pas équipée d’une puce, c’est encore pire. Enfin c’est pire pour vous mais c’est mieux pour eux : il est plus facile de pirater une carte sans puce. Enfin, si vous souhaitez augmenter vos chances de vous faire pirater votre carte bancaire, il vous suffit de renoncer aux notifications bancaires par SMS, d’insérer votre carte dans le premier distributeur automatique que vous verrez et de taper votre code à la vue de tous. Ainsi, un jour vous pourrez espérer recevoir un geste de gratitude de la part de skimmers.
D’après une étude sérieuse, cette activité, bien qu’illégale, s’est développé au fil des années. Les principes sont les mêmes : utilisez des techniques discrètes pour lire les données disponibles sur la puce magnétique, retenir le code PIN, cloner la carte et retirer la somme maximum autorisée par la banque. Cependant, les techniques utilisées par les skimmers évoluent constamment.
Seulement pour affaires
Il fut un temps où les skimmers utilisaient des lecteurs de carte pirates, ils installaient de mauvais logiciels sur les distributeurs automatiques et prenaient le risque de se faire prendre au moment d’extraire manuellement les données. Mais maintenant, les choses ont bien changé. Les industries ont évolué, et les lecteurs de carte pirates ont disparu. Actuellement, le skimming est un processus organisé et automatisé.
Le premier maillon de la chaîne de production ce sont les producteurs et les vendeurs de logiciels prêts à l’emploi et composés d’éléments disponibles en masse. Les accords sont signés et payés en ligne, et les biens sont envoyés par courrier, c’est le moyen le plus sûr pour les criminels.
https://twitter.com/GreyCastleSec/status/413645017987551232
Pour savoir à quel point les logiciels de skimming sont populaires, il vous suffit de faire quelques recherches sur n’importe quel moteur de recherche. Les kits sont constitués d’un lecteur discret permettant d’extraire des données d’une carte en plastique, d’un ensemble de codes PIN, et d’un appareil de clonage sur lequel les programmes nécessaires ont été installés. De nos jours, ces kits sont vendus entre 1500 et 2000 dollars alors qu’il y a encore quelques années, Brian Krebbs, expert en sécurité informatique, assure qu’il fallait débourser environ 10 000 dollars pour faire l’acquisition de ce kit.
Ceux qui achètent les kits de skimming n’ont pas besoin de s’y connaitre en piratage : on leur offre des manuels détaillés où on trouve même un chapitre intitulé « Les techniques qui marchent le mieux ». Les explications sont si détaillées qu’on peut même y apprendre comment optimiser la durée de vie de sa batterie dès la première utilisation !
Les miracles de la technologie
C’est l’association du progrès technique et de la demande massive qui ont alimenté le développement des composants électroniques et de leur utilisation pour des activités illicites. Les spécialistes en sécurité recommandent d’examiner en détail tous les distributeurs automatiques, mais ces conseils sont rapidement devenus obsolètes.
Tout d’abord, les criminels expérimentés ont pour habitude de vendre des programmes presque identiques à ceux des distributeurs automatiques. Même un usager avisé aura du mal à faire la différence : on copie le type de plastique et la couleur du lecteur, seul la forme est légèrement différente.
Les ressemblances sont dues à une volonté de calquer les éléments des faux distributeurs automatiques sur ceux de vrais modèles, utilisés par la plupart des grandes banques dans le monde. Evidemment, les banques instaurent aussi des mesures anti-skimming pour lutter contre ces attaques.
Deuxièmement, il y a des lecteurs qui sont installés par les pirates à l’intérieur des lecteurs des principaux distributeurs automatiques. Cette nouveauté a été référencée dans une récente étude commandée par l’équipe de sécurité européenne des distributeurs automatiques (EAST), une organisation à but non lucratif. Pire encore, certains de ces appareils ne lisent même pas les bandes magnétiques, ils cherchent directement les informations dans la base de données du distributeur automatique !
This New Card Skimmer Is Almost As Thin As A Credit Card http://t.co/rvXS3W5HVa by @johnbiggs
— TechCrunch (@TechCrunch) August 22, 2014
Extraire des données volées manuellement n’est plus d’actualité non plus. Les nouveaux modèles de lecteurs sont équipés de modules GSM qui servent à envoyer des données provenant de bandes magnétiques cryptées (et oui les skimmers ont de la concurrence!) via des réseaux mobiles.
why GSM-based ATM skimmers are the "best," according to skimmer makers http://bit.ly/dKRrrp
— briankrebs (@briankrebs) December 13, 2010
Attention à votre code PIN
Depuis, le code PIN reste le moyen le moins fiable. Pour récupérer des codes PIN, les malfaiteurs installent des petites caméras ou des appareils mobiles connus pour leur petite taille et la puissance de leur batterie, comme le iPod Touch.
Une caméra est installée juste au-dessus du digicode ou un peu plus loin dans la pièce. Les stands de brochures publicitaires sont l’un des lieux de prédilection des skimmers, et comme tout mobilier de banque, à premier abord ils ne représentent aucun danger.
Cependant, si une personne qui va retirer de l’argent camoufle le digicode avec ses mains, la caméra ne sert plus à rien. De plus, les vidéos ne sont pas très faciles à envoyer ou à traiter, et cela demande aussi beaucoup de travail manuel.
Les panneaux servant à piéger les digicodes sont de moins en moins chers et peuvent maintenant se trouver à moins de 1000 euros sur le marché noir, ce qui ne fait qu’empirer la situation. Plus la peine de vous dissimuler quand vous tapez votre code, les panneaux détecteront quand même votre code PIN. Envoyer un code de 4 chiffres par SMS à un pirate c’est bien plus facile que de visionner de longues heures d’enregistrement vidéo, et le processus est complètement automatique.
Evidemment, le faux panneau est posé par-dessus le clavier d’origine, mais il est presque impossible pour les utilisateurs de le détecter. Vu de dessus, l’installation semble tout à fait normale, le panneau est construit à partir du même métal que l’original et la peinture utilisée est la même que celle utilisée sur le reste du distributeur automatique.
Mais ce ne sont pas les seules techniques utilisées par les pirates: ils gardent aussi le logiciel utilisé pour décoder et cloner l’information. C’est comme cela que les hackers se protègent des autres skimmers et des forces de l’ordre.
Est-ce que cela fonctionne si le mot de passe est incorrect ? Le logiciel de skimming ne préviendra pas l’utilisateur si le mot de passe est incorrect, il s’éteindra. En donnant un mot de passe faux mais plausible aux policiers, un skimmer peut dire que programme est juste un logiciel inoffensif qu’il vient de télécharger. Oh zut, ça ne fonctionne pas … Pour prouver que ce programme a été utilisé dans le cadre d’actions illégales, les forces de l’ordre devront faire appel à des experts en mesure d’analyser le code, un processus très long et minutieux.
"Five lessons I’ve learned from having my credit card hacked" https://t.co/TQHBbK0Oqw
— Eugene Kaspersky (@e_kaspersky) November 13, 2014
Mais la technologie n’est qu’une facette du problème. De nombreuses opérations de skimming se font encore manuellement et sont très dangereuses. Mais ce n’est que lors du prochain post que nous nous attarderons sur cette partie du sujet. Nous vous donnerons aussi quelques conseils pour protéger votre compte en banque des personnes mal intentionnées.