Parmi toutes les méthodes utilisées par les cybercriminels pour obtenir de l’argent facile, nous voulons vous expliquer aujourd’hui le clonage physique des cartes de crédit et de débit (également connu sous le nom de cyberattaque par SKIMMING) et l’utilisation frauduleuse de ces mêmes cartes (appelée CARDING). Les cybercriminels n’utilisent donc pas toujours l’internet pour s’emparer de nos données personnelles et en particulier des informations relatives à nos cartes (numéro de carte, dates d’expiration, numéros de sécurité et codes PIN).
Quelles sont les techniques les plus courantes que nous pouvons souffrir physiquement?
- Faux guichets automatiques: Le cybercriminel manipule un distributeur automatique de billets dans une agence bancaire ou un point de vente de vente. En plus d’installer une caméra cachée pour obtenir le code PIN ou les informations du compte bancaire, il remplace des éléments du guichet automatique afin que, lorsque la carte est insérée, la bande magnétique ou la puce puisse être copiée. Il suffit au cybercriminel de collecter ces données et de les copier sur une nouvelle carte vierge pour disposer d’une copie clonée qu’il pourra utiliser comme l’original.
- Dispositifs de paiement frauduleux: Méfiez-vous des paiements par TPV en dehors des établissements officiels ou dans des lieux inhabituels (rues, marchés, etc.). Les cybercriminels peuvent saisir l’un de ces appareils et l’utiliser dans ce qui semble être une vente ou un paiement normal. Pour cloner la carte, il faudra l’insérer dans le TPV, car par sans contact le cybercriminel ne pourra pas s’emparer du code PIN.
- Dispositifs de clonage électronique: Le Proxmark ou le Flipper sont des dispositifs électroniques largement utilisés par les cybercriminels et les fraudeurs, étant donné qu’en les approchant simplement de notre carte de crédit ou de notre téléphone (si nous avons les cartes dedans), ils nous permettent de cloner toutes les données en quelques secondes (contrairement au POS). Le plus souvent, l’agresseur s’approche physiquement de nous, que ce soit dans les transports publics, dans un magasin ou même lorsque nous attendons notre tour dans un supermarché.
Nous reviendrons sur ces deux dispositifs (Proxmark et Flipper) dans de futurs TIPS relatifs à d’autres utilisations frauduleuses, telles que l’accès non autorisé à des bâtiments, la désactivation de systèmes d’alarme ou le vol de véhicules.
Comment les détecter et les prévenir?
- Couvrez le clavier lorsque vous saisissez le code PIN que ce soit pour payer dans un magasin ou pour retirer de l’argent à un distributeur automatique, et alertez-nous de toute action que nous considérons comme suspecte.
- En dehors des établissements officiels, surtout si l’on est en voyage, il est parfois plus sûr de payer en espèces ou par sans contact du téléphone portable, ce qui nous oblige à valider l’achat avec le code PIN de déverrouillage de l’écran ou notre empreinte digitale ou faciale. De cette façon, ils manqueront d’informations nécessaires pour cloner la carte à 100%. En outre, si nous avons activé l’authentification à deux facteurs ou la vérification personnelle auprès de notre banque, celle-ci notifiera instantanément notre téléphone portable de tout paiement ou débit effectué. Nous pourrons ainsi reconnaître ceux que nous n’avons pas effectués nous-mêmes.
- Lorsque nous sommes dans des lieux où il y a beaucoup de monde (manifestations, foires, congrès, visites touristiques, magasins, transports, etc.) nous devons toujours garder un œil sur nos affaires. Surtout si nous avons l’habitude de transporter nos portefeuilles et porte-monnaie dans la poche arrière de nos pantalons ou dans la poche extérieure d’un sac à main ou d’un sac à dos. Malgré la couche textile, le Proxmark serait en mesure de cloner parfaitement la carte grâce à sa fonction sans contact.
NOTE IMPORTANTE : Si nous pensons être victimes d’une cyberattaque, nous vous recommandons comme toujours dans le domaine professionnel, demandez l’aide du service informatique, du responsable de la sécurité ou du supérieur direct. Et, à titre personnel, signalez l’incident aux autorités policières.
*Date d’envoi : 10 mars 2025