Le carding représente une des spécialisations parmi les plus anciennes et les plus visibles de la cybercriminalité. Les internautes prennent souvent conscience de la réalité de cette menace une fois que leur compte bancaire a été ponctionné pour des achats ou des retraits frauduleux dans des pays comme la Russie, les Etats-Unis ou la Thaïlande. Toutefois, le carding a relativement peu évolué au fil des années et attire sans cesse de nouveaux acteurs dans le monde.
Le montant des pertes financières dues au carding est en augmentation constante. La fraude, matérialisée par ces activités, impacte la réputation des sites de vente en ligne et altère la confiance des clients envers ces entreprises et les banques.
La situation la plus critique en matière de sécurité bancaire est aux États-Unis : chaque année, l’économie américaine perdrait environ 5 milliards de dollars.[1]
Une augmentation observée en Europe
En Europe, la tendance est également à la hausse. Selon l’étude de FICO[2] en 2013, le volume total des pertes dues à la fraude a dépassé le niveau record de 2008 pour atteindre 1,5 milliard d’euros. C’est en France et en Grande Bretagne que la situation est la plus préoccupante, puisque les deux pays représentent à eux-seuls 62 % du volume des pertes totales des 19 Etats européens étudiés, Russie inclue.
Les pertes en France et en Grande Bretagne représentent 62 % du volume total des pertes en Europe.[3]
En Europe, le format de sécurité EMV s’est imposé depuis une dizaine d’années, définissant des normes techniques de paiement entre cartes et terminaux de paiement. Les cartes possèdent alors des puces sécurisées et la transaction doit être confirmée par la saisie d’un code PIN. Les pays européens sont globalement équipés de terminaux qui « lisent » les informations sur la puce sécurisée lors d’un paiement physique.

banking-blog-atm-skimmer-at-a-cash-machine-in-germany

Des skimmers frauduleux permettent de récupérer  les numéros de cartes bancaires et de Pin sans perturber les transactions. Grâce aux informations récupérées, les voleurs fabriquent de « vraies » fausses cartes, difficiles à traquer.

Un handicap lié à une volonté de compatibilité internationale
Malgré tout, la bande magnétique subsiste sur les cartes européennes pour des raisons de compatibilité internationale, ce qui donne aux cybercriminels la possibilité de voler les données de l’utilisateur. Ensuite, ils envoient celles-ci dans les pays qui ne sont pas encore passés au format EMV, et donc encore équipés de terminaux lisant uniquement la bande magnétique afin de les monétiser.
C’est pourquoi, les trafiquants arrivent toujours à compromettre les cartes européennes.
Un gestionnaire de réseau de mules propose de retirer l’argent en Asie moyennant 20% ou 30% de la somme totale.
Conscientes du problème, les institutions financières américaines se sont décidées à adopter massivement le système EMV à partir du 1 octobre 2015, sous la pression des émetteurs des cartes les plus importants : Mastercard, Visa et American Express. En effet, les pertes engendrées par le vol des données financières pesaient si lourd que les institutions financières ont finalement accepté de dépenser des sommes considérables afin de changer les équipements dans tout le pays.
Toutefois, les Américains ont décidé d’adopter un système sensiblement différent de celui pratiqué par exemple en France : au lieu d’entrer le code PIN, l’utilisateur américain doit apposer sa signature lors d’un achat avec sa carte équipée d’une puce sécurisée. De plus, et ce depuis le 1er octobre, la responsabilité en cas de fraude est rejetée sur le commerçant s’il n’est pas équipé d’un terminal de paiement adéquat. Cette mesure permettrait de réduire la fraude en magasin, bien qu’en général celle-ci soit moins sécurisée que l’autorisation avec un code PIN.
Néanmoins, le volume des pertes dues au carding ne baissera probablement pas : en effet, le format EMV seul ne sécurise aucunement les paiements via internet et mobile. L’expérience des changements intervenus en Europe démontre que les cybercriminels anticipent souvent les nouvelles mesures antifraudes en intégrant de nouveaux procédés ou en reportant leur attention sur d’autres types de fraude.EMV_650
Par exemple, l’introduction du système EMV a notamment provoqué en France (depuis 2008) et en Grande Bretagne l’augmentation des fraudes liées aux achats en ligne avec des données bancaires
volées.
L’introduction du système EMV a notamment provoqué l’augmentation des fraudes liées aux achats
en ligne avec des données bancaires volées.
La migration vers le système EMV prendra plusieurs années aux Etats Unis, ce qui laisse le temps aux carders d’exploiter des vulnérabilités des cartes à bande magnétique mais surtout de modifier leurs méthodes afin de maintenir le même niveau de gains.

La RD cybercriminelle est toujours en avance
Les cybercriminels mettent en place une veille professionnelle afin d’être au courant des nouvelles technologies pouvant faciliter leur travail. Si certains font des recherches techniques par eux-mêmes, d’autres se contentent d’acheter des vulnérabilités clés en main afin de compromettre les systèmes informatiques des commerçants et des banques.
On le voit, les systèmes de paiement dits traditionnels sont largement exploités par les cybercriminels. Toutefois, ceux-ci ne se contentent pas de profiter des failles connues mais cherchent également à corrompre les nouveaux modes de paiement.
– Comment les hackers devancent les acteurs institutionnels
La R&D des cybercriminels a permis de relancer la fraude aux DAB et d’atteindre un nouveau palier dans le volume de pertes alors que ce type de fraude avait pratiquement disparu en France et avait baissé en termes de pertes en 2013 en Europe et aux Etats-Unis.
Les cybercriminels ont trouvé plusieurs façons d’introduire un malware dans les ordinateurs gérant les DAB en y accédant par intrusion physique. L’une des méthodes les plus impressionnantes a été dévoilée par Kaspersky lorsqu’un distributeur, ainsi infecté par un virus, pouvait être manipulé afin de voir combien et quels types de billets restaient encore dans ses bacs, permettant ainsi de déclencher le débit le plus rentable [4].
Selon les données de l’association EAST (European ATM Security Team) le volume des pertes aux DAB a augmenté de 18 % en atteignant 156 millions d’euros pour les 6 premiers mois de l’année 2015 par rapport à la même période l’année dernière.[5]
L’arrivée progressive du standard EMV pour les débits d’argent incite les cybercriminels à chercher d’autres modes de fonctionnement. Récemment, les cas de fraude utilisant des méthodes de « shimming » ont été signalés au Mexique.[6]
En 2010, une équipe de chercheurs de l’Université de Cambridge avait découvert une vulnérabilité dans la puce permettant, à priori, d’utiliser des cartes avec une puce de sécurité sans en connaître le code PIN.
Effectivement, après la publication de l’étude, un groupe de cinq personnes (dont un ingénieur français) était arrêté l’année suivante pour avoir confectionné de fausses cartes à puce. Avec une quarantaine de cartes falsifiées, le groupe avait réussi à retirer près de 600 000 d’euros dans plusieurs pays en effectuant quelques 7 000 transactions.[7]

Malwares affectant les TPE de plus en plus sophistiqués
Des malwares ciblant les terminaux de paiement existent depuis au moins six ans, mais depuis les vols massifs survenus aux Etats Unis en 2013 et surtout en 2014, même la presse généraliste a commencé à en parler. Les pertes continuent d’augmenter également car le nombre d’attaques visant les terminaux de paiements augmente. Les cybercriminels profitent en effet des faiblesses dans le processus de traitement de données des cartes. Les numéros de cartes se retrouvent en effet parfois en clair (non chiffrés) dans la mémoire du terminal ou dans certains serveurs internes responsables du traitement ou du transfert des données informatiques.
Les attaques contre les TPE continueront dans un futur proche car c’est un moyen assez facile pour les hackers confirmés de se procurer des données des cartes car un seul terminal fait transiter des milliers de cartes, comme par exemple, dans un supermarché. Les chercheurs en sécurité découvrent des nouveaux malwares visant les TPE et soulignent leur niveau technique croissant.[8] Les cybercriminels affectionnent les malwares visant les POS étant donné le fort ROI de ce type d’attaques.
Dernièrement, la chaîne hôtelière Starwood a annoncé que les systèmes de gestion de 54 hôtels du groupe avaient été compromis à la fin de l’année dernière. Selon la compagnie, le malware a recueilli des données des cartes bancaires, les codes de sécurité, les noms des titulaires et les dates d’expiration.[9]
– Contournement des nouveaux systèmes de paiement
Certains carders se détournent vers de nouveaux systèmes de paiement, comme par exemple le système Apple Pay.
Ils ont trouvé des failles dans le dispositif de vérification et de validation par les banques des nouveaux comptes de paiement Apple depuis les iPhones liés à une carte bancaire. Il leur suffisait de fournir par téléphone aux banques des données personnelles et financières achetées sur les marchés undergound, afin d’effectuer les achats frauduleux. Selon certaines estimations, plus de 6% des transactions, avant la découverte de l’arnaque, étaient frauduleuses.
Une attaque, portant contre la société LoopPay, spécialiste de la NFC, s’est déroulée sur plusieurs mois et a été récemment découverte. Cette société a été rachetée par Samsung en février 2015 et
l’on peut donc légitimement se poser des questions sur la sécurité des paiements via le système Samsung Pay.
Jawbone, l’un des producteurs des bracelets fitness, a annoncé qu’il serait possible pour les détenteurs des cartes American Express d’effectuer des achats avec leurs bracelets fitness, pourtant hackés en quelques heures par un chercheur de Kaspersky[10].
La technologie NFC commence juste à être adoptée par les particuliers.

Les cybercriminels sont pourtant déjà à l’œuvre pour détourner ce dispositif. Pour 5 000 $, un logiciel est vendu sur un forum réputé de carding, permettant de payer via NFC avec les données volées de la carte bancaire.
Des solutions afin de réduire le nombre d’attaques existent et sont appliquées par les différents acteurs de la chaîne de paiement. Dans notre étude à l’attention des clients consacrée au carding, nous développons un ensemble de mesures afin de réduire efficacement les pertes. L’une d’entre elles consiste à surveiller et analyser les réseaux de cybercriminalité.

par Alexei Chachourine, expert en cybersécurité chez Lexsi

liste des références
[1]http://www.infodsi.com/articles/155525/544-millions-euros-est-coutent-france-vols-donnees-cartes-bancaires.html
[2] FICO est l’un des leaders mondiaux des outils et des solutions de gestion décisionnelle notamment dans le secteur bancaire. Environ 65 % des cartes bancaires du monde entier sont gérées à l’aide des systèmes de contrôle adaptatif de FICO. Les systèmes de détection de fraude de FICO protègent 1,8 milliards de comptes bancaires dans le monde.
[3]http://www.fico.com/landing/fraudeurope2013/
[4]https://securelist.com/blog/research/66988/tyupkin-manipulating-atm-machines-with-malware/
[5]https://www.european-atm-security.eu/files/European-ATM-Fraud-Incidents-up-15.pdf
[6]http://krebsonsecurity.com/2015/08/chip-card-atm-shimmer-found-in-mexico/
[7]http://www.securityweek.com/fraudsters-stole-680000-mitm-attack-emv-cards
[8]http://resources.infosecinstitute.com/pos-malware-is-more-effective-and-dangerous/
[9]http://www.net-security.org/malware_news.php?id=3158
[10]https://securelist.com/blog/research/69369/how-i-hacked-my-smart-bracelet

À propos de LEXSI :
Société de service spécialisée en cybersécurité en France. Elle représente le plus important CERT indépendant d’Europe et une base de threat intelligence faisant référence sur le marché.