18Aug

Comment les skimmers de carte de crédit fonctionnent, et comment les repérer

Un skimmer de carte de crédit est un dispositif malveillant que les criminels attachent à un terminal de paiement - le plus souvent sur les guichets automatiques et les pompes à essence. Lorsque vous utilisez un terminal qui a été compromis de cette manière, le skimmer crée une copie de votre carte et capture votre code PIN( s'il s'agit d'une carte ATM).

Si vous utilisez des distributeurs automatiques de billets et des pompes à essence, vous devez être conscient de ces attaques. Armé de la bonne connaissance, il est en fait assez facile de repérer la plupart des skimmers - bien que, comme avec tout le reste, ces types d'attaques continuent d'être plus avancés.

Comment Skimmers travail

Un skimmer a traditionnellement deux composants. Le premier est un petit appareil qui est généralement inséré sur la fente de la carte. Lorsque vous insérez votre carte, l'appareil crée une copie des données sur la bande magnétique de votre carte. La carte traverse l'appareil et entre dans la machine, tout semble fonctionner normalement, mais les données de votre carte viennent d'être copiées.

La deuxième partie de l'appareil est une caméra. Une petite caméra est placée quelque part, elle peut voir le clavier - peut-être en haut de l'écran d'un guichet automatique, juste au-dessus du pavé numérique, ou sur le côté du pavé.L'appareil photo est pointé sur le clavier et il vous capture en entrant votre code PIN.Le terminal continue de fonctionner normalement, mais les attaquants ont simplement copié la bande magnétique de votre carte et volé votre code PIN.

Les attaquants peuvent utiliser ces données pour programmer une fausse carte avec les données de bande magnétique et l'utiliser dans d'autres guichets automatiques, en entrant votre code PIN et en retirant de l'argent de vos comptes bancaires.

Cela dit, les skimmers deviennent de plus en plus sophistiqués. Au lieu d'un dispositif installé sur une fente de carte, un skimmer peut être un petit appareil imperceptible inséré dans la fente de la carte elle-même, souvent appelé shimmer .

Au lieu d'une caméra pointée sur le clavier, les attaquants peuvent également utiliser une superposition, un faux clavier installé sur le clavier réel. Lorsque vous appuyez sur un bouton sur le faux clavier, il enregistre le bouton que vous avez appuyé et appuie sur le bouton réel en dessous. Ceux-ci sont plus difficiles à détecter. Contrairement à un appareil photo, ils sont également garantis pour capturer votre code PIN.

Skimmers stockent généralement les données qu'ils capturent sur l'appareil lui-même. Les criminels doivent revenir et récupérer le skimmer pour obtenir les données qu'il a capturées. Cependant, plus d'écumeurs transmettent maintenant ces données sans fil via Bluetooth ou même des connexions de données cellulaires.

Comment repérer les skimmers de carte de crédit

Voici quelques astuces pour repérer les skimmers de carte. Vous ne pouvez pas repérer chaque skimmer, mais vous devriez certainement jeter un coup d'œil autour avant de retirer de l'argent.

  • Secouez le lecteur de carte : Si le lecteur de carte se déplace lorsque vous essayez de le soulever avec votre main, quelque chose ne va probablement pas. Un vrai lecteur de carte doit être fixé au terminal de façon à ce qu'il ne bouge pas - un skimmer placé au-dessus du lecteur de carte peut bouger.
  • Regardez le terminal : Jetez un coup d'œil au terminal de paiement lui-même. Est-ce que quelque chose semble un peu hors de propos? Peut-être que le panneau inférieur est une couleur différente du reste de la machine parce que c'est un faux morceau de plastique placé sur le panneau inférieur réel et le clavier. Peut-être y a-t-il un objet bizarre qui contient une caméra.
  • Examinez le clavier : Le clavier est-il un peu trop épais ou différent de ce à quoi il ressemble habituellement si vous avez déjà utilisé la machine? Il peut s'agir d'une superposition sur le clavier réel.
  • Vérification des caméras : Pensez à l'endroit où un attaquant pourrait cacher une caméra, quelque part au-dessus de l'écran ou du clavier, ou même dans le porte-brochure de la machine.
  • Utiliser Skimmer Scanner pour Android: Si vous utilisez un téléphone Android, il existe un nouvel outil appelé Skimmer Scanner qui va scanner les périphériques Bluetooth à proximité et détecter les skimmers les plus communs sur le marché.Ce n'est pas infaillible, mais c'est un excellent outil pour trouver des skimmers modernes qui transmettent leurs données via Bluetooth.

Si vous trouvez quelque chose qui ne va pas, un lecteur de carte qui bouge, une caméra cachée ou une superposition de clavier, assurez-vous d'alerter la banque ou l'entreprise responsable du terminal. Et bien sûr, si quelque chose ne semble pas juste, allez ailleurs.

Autres précautions de sécurité de base que vous devriez prendre

Vous pouvez trouver des skimmers communs, bon marché avec des trucs comme essayer de secouer le lecteur de carte. Mais voici ce que vous devriez toujours faire pour vous protéger lorsque vous utilisez un terminal de paiement:

  • Protégez votre code PIN avec votre main : Lorsque vous tapez votre code PIN dans un terminal, protégez le clavier NIP avec votre main. Oui, cela ne vous protégera pas contre les skimmers les plus sophistiqués qui utilisent des superpositions de clavier, mais vous êtes beaucoup plus susceptible de tomber sur un skimmer qui utilise un appareil photo - ils sont beaucoup moins chers pour les criminels à acheter. C'est le numéro un conseil que vous pouvez utiliser pour vous protéger.
  • Surveillez vos transactions bancaires : Vous devriez vérifier régulièrement vos comptes bancaires et vos comptes de cartes de crédit en ligne. Vérifiez les transactions suspectes et informez votre banque le plus rapidement possible. Vous voulez attraper ces problèmes dès que possible - n'attendez pas que votre banque vous envoie un relevé imprimé un mois après que l'argent a été retiré de votre compte par un criminel. Des outils comme Mint.com - ou un système d'alerte que votre banque pourrait offrir - peuvent également vous aider en vous informant lorsque des transactions inhabituelles ont lieu.
  • Utiliser des systèmes de paiement sans contact: Le cas échéant, vous pouvez également vous protéger en utilisant des outils de paiement sans contact comme Android Pay ou Apple Pay. Ceux-ci sont intrinsèquement sécurisés et contournent complètement tout système de balayage, de sorte que votre carte( et les données de la carte) ne le font jamais près du terminal. Malheureusement, la plupart des guichets automatiques n'acceptent toujours pas les méthodes sans contact pour les retraits, mais au moins cela devient de plus en plus commun aux pompes à essence.

L'industrie travaille sur des solutions. .. Lentement

Tout comme l'industrie des skimmers essaie constamment de trouver de nouvelles façons de voler vos informations, l'industrie des cartes de crédit va de l'avant avec une nouvelle technologie pour sécuriser vos données. La plupart des entreprises ont récemment opté pour les puces EMV, ce qui rend presque impossible la saisie de vos données de cartes, car celles-ci sont beaucoup plus difficiles à reproduire.

Le problème est que même si la plupart des sociétés de cartes et des banques ont adopté cette nouvelle technologie assez rapidement, de nombreux lecteurs de cartes - terminaux de paiement, guichets automatiques, etc. - continuent d'utiliser la méthode traditionnelle. Tant que ces types de systèmes sont encore en place, les skimmers seront toujours un risque.À ce jour, je ne peux pas dire que j'ai vu un seul guichet automatique ou un terminal de pompe à essence qui utilise le système de puce, les deux ayant la plus grande probabilité d'avoir un skimmer attaché.Espérons que nous commencerons à voir le système de puce devenir plus prolifique sur les terminaux de paiement au moment de la transition vers 2018.

Mais jusque-là, vous pouvez utiliser les étapes trouvées dans cette pièce pour vous protéger autant que possible. Comme je l'ai dit, ce n'est pas infaillible, mais faire ce que vous pouvez vous aider à protéger vos données et vos finances n'est jamais une mauvaise idée.

Pour en savoir plus sur ce sujet terrifiant - ou simplement pour voir des photos de tout le matériel d'écrémage - jetez un coup d'œil à la série All About Skimmers de Brian Krebs à Krebs on Security. C'est un peu daté à ce stade, avec de nombreux articles datant de 2010, mais tout cela est encore très pertinent pour les attaques d'aujourd'hui et mérite d'être lu si vous êtes intéressé.

Crédit d'image: Aaron Poffenberger sur Flickr, nick v sur Flickr