Pendant des années, les dispositifs de skimming électroniques ont dérobé avec plus ou moins de succès des informations de cartes de crédit, mais des chercheurs en cyber-sécurité ont remarqué un nombre croissant de terminaux de paiement mobiles (TPE) modifiés qui circulent dans les marchés souterrains.
Group-IB, une entreprise spécialisée dans la cyber-sécurité a repéré un modèle de terminal de paiement mobile particulièrement touché par les dispositifs électroniques de skimming : le VeriFone Vx670. Mais bien entendu, il y en a d’autres visés.
Le terminal de paiement (TPE) de VeriFone a été utilisé pour des transactions commerciales portables pendant près de 10 ans, et actuellement, au moins un cybercriminel vend une version modifiée de l’appareil qui permettra d’intercepter les numéros de carte bancaire du client et d’envoyer les données aux escrocs via le câble ou une connexion sans fil. Il est facile à utiliser et assez transparent, ce qui inquiète les chercheurs.
Andrey Komarov, directeur technique et responsable des projets internationaux de Group-IB explique que l’une des raisons pour lesquelles le dispositif modifié est attrayant pour les skimmers, est qu’il permet d’envoyer les données volées via GPRS, Bluetooth ou WiFi. Du coup, tout ce que utilisateur doit faire est de s’asseoir à proximité et recueillir les données détournées lors de chaque paiement effectué via le TPE piégé !
D’autres raisons font que ces appareils sont très populaires, notamment est leur capacité à stocker un grand nombre d’informations, y compris celles présentes sur la bande magnétique d’une carte de crédit, d’extraire les codes PIN secrets et de modifier ce qui est imprimé sur un reçu.
“Il est difficile à détecter lors d’une utilisation commerciale” déclare le chercheur. “Les banques ont besoin d’analyser l’emplacement possible de la fraude. Cela est un processus difficile car cela implique d’interroger les marchands où la carte a été utilisée et d’interroger la victime. Bien entendu, à ce moment là, l’escroc aura probablement récupéré l’appareil“, a ajouté Komarov.
Komarov explique qu’il a eu vent que de tels dispositifs étaient utilisés dans des restaurants de Moscou, où 30 000 $ étaient volés chaque mois par les criminels. Depuis, il en a vu un peu partout dans le monde, chez des marchands, des restaurants et des hôtels. L’usage s’est en quelques sortes démocratisé… au grand damne des banques et de leurs clients !
“La zone clé est le lieu de villégiature“, a déclaré Komarov, pointant du doigt les pays asiatiques, comme la Thaïlande, où la sécurité bancaire relative aux cartes de crédit n’est pas une priorité aussi élevée qu’en Europe.
Le dispositif modifié de VeriFone peut être acheté pour 3000 $ sur différents sites underground du Black Market et il est également possible de le louer pour 2000 $, plus un supplément de 20 pour cent (une caution) en cas de vol du matériel. L’offre présente au sein du Black Market est très étoffée et les cybercriminels pensent à tout.
Le créateur de l’appareil est soupçonné d’avoir racines russophones d’après Komarov, faisant référence à une vidéo de démonstration mise en ligne par le vendeur afin de démontrer son dispositif modifié de VeriFone dédié au skimming. La carte de crédit alors utilisée provenait de Sberbank, la plus grande banque en Russie et en Europe de l’Est.
“Les terminaux de paiement piégés et trafiqués sont bien connus depuis 2007“, poursuit Komarov, expliquant que ce type de campagne peut changer la donne car des skimmeurs ATM coûtent plus cher, de 5000 à 10000 $ et ces derniers sont de plus en plus difficile à cacher et à installer en raison d’un manque de machines vulnérables et le besoin d’être initié et d’avoir recours à une aide technique.
La société de services bancaires Visa offre des conseils aux entreprises sur la façon de se protéger contre la falsification des dispositifs de paiement mobiles, y compris sur la façon de mener des enquêtes fréquentes dans le but de repérer des anomalies simples, telles que des vis manquantes, des trous supplémentaires ou un excès de câblage au sein du dispositif TPE.
Du point de vue du client, Komarov a suggéré à ce que les gens utilisent une carte EMV – qui contient une puce microprocesseur qui empêche tout accès non autorisé aux informations de la carte – et a déclaré que les titulaires ne devraient utiliser uniquement des dispositifs TPE approuvés contenant un hologramme.
Ce bon vieux VeriFone qui fait tant le bonheur des escrocs à la carte. Pourtant, je pense bien que ce matériel est plutôt très robuste puisqu’il est pratiquement impossible de le pirater à distance ce qui n’est pas le cas des nouveaux terminaux de paiement mobile qui sont entrain d’apparaître sur le marché.
Les commentaires sont fermés.