Vous avez déjà vécu la mauvaise expérience de vous voir refuser une transaction puisque votre carte de paiement était désactivée ? Vous avez dû contacter votre institution financière pour comprendre ce qui se passe et vous vous êtes faits dire que votre carte a été suspendue de façon préventive pour cause de clonage. Mais qu'est-ce que le clonage de cartes de paiement ?
Le clonage de cartes de paiement est un phénomène qui a vu le jour au début des années 2000. Selon les données d'Interac, depuis 2005, les institutions financières canadiennes perdent en moyenne près de 87M$ par année.
(Source: http://www.interac.ca/fr/media/stats.php)
Le clonage de cartes de paiement se divise en deux parties. La première partie consiste à récolter les données inscrites sur la bande magnétique de la carte de paiement ainsi que le numéro d’identification personnel (NIP). La deuxième partie consiste à créer une copie (un second exemplaire) de la carte de paiement compromise en enregistrant les informations récoltées de celle-ci sur une autre carte. Une fois le clone effectué, cette nouvelle carte pourra être utilisée de façon frauduleuse par les fraudeurs puisqu'ils possèdent également le NIP.
Voici les 7 grandes étapes d'un clonage (du clonage à la fraude)
Généralement, les fraudeurs ont tendance à cibler des commerces ayant un bon volume transactionnel comme les restaurants (surtout les restaurations rapides) et les dépanneurs. Les commerces de détail ne sont pas épargnés. En fait, tous les commerces dont les TPV ne sont pas munis de dispositifs de sécurité sont plus vulnérables. Tous les TPV qui sont sécurisés par un câble d’acier, qui sont fixés au comptoir ou qui détectent le moindre débranchement sont moins prisés par les fraudeur. Alors, la façon typique de procéder lors d’un vol de TPV est la suivante : Un petit groupe d’individus (généralement 1-3 personnes) se présente chez le commerçant ciblé peu avant la fermeture du commerce. Le groupe s’arrange pour être les derniers « clients » de la journée. À ce moment, une personne du groupe distrait le caissier en lui posant quelques questions ou en lui demandant de récupérer certains produits qui se trouvent hors d’atteinte amenant le caissier à se déplacer et à perde le TPV de vue. Lorsque le champ est libre, une autre personne remplace le TPV du marchand par un autre ayant la même apparence dans le but de ne pas éveiller de soupçon de la part du caissier. À noter,
Voici un vidéo qui illustre le vol d'un TPV :
;
Dans ce cas-ci, il n'y a pas eu de diversion puisque les voleurs ont ciblé une caisse qui est fermée.
Voici un vidéo qui illustre le vol d'un TPV :
;
Dans ce cas-ci, il n'y a pas eu de diversion puisque les voleurs ont ciblé une caisse qui est fermée.
2- Modification du TPV
Une fois le TPV volé, il est remis à une personne (que nous appelons technicien) capable de le modifier afin d’ajouter les composantes nécessaires à la récupération et au téléchargement à distances des données bancaires. L’opération dure généralement moins d’une heure. Les principales composantes ajoutées au TPV sont :
- une membrane qui est installée sous les touches du TPV dans le but de capturer le NIP;
- une carte mémoire qui emmagasine les données inscrites sur la bande magnétique ainsi que le NIP,
- un dispositif bluetooth afin de récupérer ces données à distance;
- un microcontrôleur qui donne les instructions à ces composantes.
3- Réinsertion du TPV nouvellement modifié chez le commerçant
Suite à la modification du TPV, les fraudeurs doivent le remettre à l’endroit où ils l’ont volé pour pouvoir récolter les données. Les fraudeurs procèdent de la même façon que la veille, lorsqu’ils ont volé le TPV. Les fraudeurs se présentent à l’ouverture de ce même commerce et s’assurent d’être les premiers clients de la journée. Le processus de distraction du caissier se remet en marche et le TPV modifié est remis en place.
4- Emmagasinage des données bancaires
Chaque fois qu'une carte de paiement est utilisée sur le TPV pour faire l'achat d'un article, les informations sont enregistrées dans la carte mémoire des fraudeurs. L’emmagasinage des données peut se dérouler sur une journée ou sur une période de plusieurs mois. On parle alors de période de clonage.
Les données peuvent être emmagasinées aussi longtemps que la carte mémoire le permet ou selon l’ « appétit » des fraudeurs.
Les données peuvent être emmagasinées aussi longtemps que la carte mémoire le permet ou selon l’ « appétit » des fraudeurs.
5- Téléchargement des données emmagasinées
Grâce à la technologie bluetooth, les fraudeurs peuvent télécharger à distance, dans le confort de leur voiture, les données bancaires emmagasinées sur la carte mémoire. Les fraudeurs peuvent venir récupérer les données bancaires lorsqu’ils le désirent et dépendamment du volume transactionnel du commerçant (ou de la crainte des fraudeurs que leur dispositif de clonage soit détecté), leurs visites seront plus fréquentes. Les fraudeurs téléchargent les données de façon régulière dans le but de créer de l’espace sur la carte mémoire permettant ainsi l’ajout de nouvelles données bancaires. Cela assure également aux fraudeurs de mettre la main sur une quantité de données bancaires advenant un problème quelconque.
6- « Fabrication » des cartes clonées
Cette étape consiste à produire des duplicatas des données bancaires compromises. Toutes cartes possédant une bande magnétique peuvent être utilisées pour la reproduction. Les fraudeurs avaient pris l’habitude d’utiliser des cartes vierges de couleur blanche pour fabriquer leurs doubles. C'est pour cette raison que le milieu utilise toujours le terme "Carte Blanche" pour désigner une carte contrefaite. Avec l’aide d’une encodeuse, les données bancaires sont enregistrées sur la bande magnétique de la carte blanche. Une fois l’encodage complété, les fraudeurs inscrivent le NIP sur la carte et celle-ci est maintenant prête pour une utilisation frauduleuse.
7- Utilisation frauduleuse
Cette étape consiste à retirer l’argent des comptes bancaires des victimes. Normalement, les fraudeurs préfèrent davantage faire des retraits en argent dans des guichets automatiques que des achats de produits (télévisions, cellulaires, vêtements de marque, bijoux, etc..). Afin d’assurer un maximum de "revenu", les fraudeurs ont dû modifier leurs comportements à plusieurs reprises ce qui les a rendus de plus en plus organisés. Le volume grandissant de fraudes par cartes de paiement a forcé les institutions financières à utiliser des systèmes de monitoring et de détection afin de limiter les pertes. Ces dernières ont également dû migrer vers la carte à puce pour contrer la fraude.
Pour en savoir plus sur l'évolution de l'utilisation frauduleuse, veuillez consulter l'article suivant : (article à venir)
Pour en savoir plus sur l'évolution de l'utilisation frauduleuse, veuillez consulter l'article suivant : (article à venir)
IMPORTANT
L’institution financière ne veut pas vous dire où votre carte de paiement à été compromise?
La raison est bien simple. Dans la majorité des cas, le propriétaire du commerce où le clonage a eu lieu n'est pas au courant du stratagème et devient donc une victime, tout comme vous. La première réaction que la plupart des gens auraient si l'endroit était divulgué serait de ne plus y retourner causant ainsi un préjudice au commerçant. Pour cette raison, les institutions préfèrent taire le lieu du clonage.
L’institution financière ne veut pas vous dire où votre carte de paiement à été compromise?
La raison est bien simple. Dans la majorité des cas, le propriétaire du commerce où le clonage a eu lieu n'est pas au courant du stratagème et devient donc une victime, tout comme vous. La première réaction que la plupart des gens auraient si l'endroit était divulgué serait de ne plus y retourner causant ainsi un préjudice au commerçant. Pour cette raison, les institutions préfèrent taire le lieu du clonage.
Si vous êtes victime de fraude, contactez votre institution financière.
Dans la majorité des cas, votre institution financière vous remboursera dans les jours suivants.
Si vous avez des questions, commentaires, ou voulez partager une histoire similaire, n'hésitez pas !
AH
Fraudes Bancaires
fraudes.bancaires@gmail.com
http://fraudes-bancaires.blogspot.ca/
http://twitter.com/Fraude_Bancaire
