Comment reconnaître et se protéger contre les escroqueries par carte de crédit
La fraude par carte de crédit est une grosse affaire. Le Les États-Unis représentaient près de la moitié (47 %) des fraudes à la carte de crédit dans le monde en 2015. probablement dû à la lente adoption des cartes à puce et à code PIN aux États-Unis. Ce type de fraude au Royaume-Uni a atteint 567 millions de livres sterling en 2015 et le Canada a atterri quelque part au milieu à près d'un milliard de dollars en 2015 . En Australie, le vol de carte de crédit est considéré comme une forme d'usurpation d'identité qui touchait 4 % de la population en 2013.
Crimes et abus d'identité en Australie 2013-2014 https://aic.gov.au/publications/rpp/rpp130
Le décor a été soigneusement préparé pour permettre ces niveaux massifs de fraude au cours des dernières décennies. Lorsque les cartes de crédit ont été émises pour la première fois, elles étaient ennuyeuses à utiliser. Les employés des magasins devaient se référer manuellement aux livres imprimés ou passer des appels téléphoniques fastidieux pour vérifier chaque vente par carte de crédit, ce qui n'impressionnait guère les titulaires de cartes. D'autres problèmes sont survenus en matière de responsabilité. Les titulaires de cartes n’étaient pas disposés à transporter une carte qui, en cas de perte ou de vol, pourrait leur coûter des milliers de dollars de frais frauduleux. Afin de favoriser l'adoption des cartes de crédit, les émetteurs ont dû rendre les cartes de crédit aussi faciles à utiliser que possible et éliminer toute responsabilité.
C’est ce qu’ils ont fait.
Ces efforts visant à favoriser l’adoption des cartes de crédit à tout prix ont créé un monde dans lequel le propriétaire de la carte n’est généralement pas tenu responsable des frais frauduleux, de sorte qu’il n’y a guère d’incitation à protéger de manière obsessionnelle les cartes de crédit. D’un autre côté, les émetteurs de cartes réalisent désormais des milliards de bénéfices chaque année. Même s’ils subissent ce qui semble être des pertes énormes dues à la fraude, il est souvent moins difficile de simplement les amortir et de passer à autre chose. Cela crée une situation dans laquelle peu de fraudeurs, mais les plus importants, sont poursuivis, créant ainsi un terrain fertile pour un grand nombre de criminels de bas niveau.
- Pourquoi font-ils cela?
- Comment est-il fait?
- Que fait l’industrie pour résoudre ce problème ?
- Comment puis-je me protéger ?
- Que dois-je faire si ma carte a été volée ?
Pourquoi font-ils cela?
Il est tentant de penser que vous avez affaire à un gars qui veut voler votre carte pour faire de l’essence dans sa voiture, mais la réalité est bien différente. L’homme qui tente de voler votre carte de crédit n’est probablement que l’homme de référence d’une organisation criminelle beaucoup plus importante. Internet regorge de sites où acheteurs et vendeurs peuvent échanger des paquets de cartes de crédit volées et ces transactions commencent avec des cartes de crédit individuelles comme la vôtre. Beaucoup de ces sites existent sur les marchés du darkweb tels que les services cachés Tor, mais il existe également de nombreux sites dits de « cardage » sur Internet classique.
Au minimum, le voleur aura besoin de votre numéro de carte de crédit, de sa date d'expiration et de votre numéro CVV (Card Verification Value). Ce sont les trois conditions minimales pour utiliser une carte de crédit. Cependant, il existe des moyens par lesquels les voleurs peuvent augmenter la valeur de revente des données de votre carte de crédit.
Afin d’obtenir le meilleur prix pour son lot de cartes de crédit, un voleur fera passer toutes les cartes de crédit volées via des systèmes de « vérification » qui vérifient si la carte est toujours active. Ces systèmes effectuent ce qui semble être de petits achats inoffensifs qui n’épuisent pas trop la limite de crédit restante, mais confirment également que la carte n’a pas été annulée.
En allant encore plus loin, les paquets de données personnelles complètes valent plus qu'un simple numéro de carte de crédit fonctionnel. Si un voleur est capable de voler des informations personnelles détaillées vous concernant afin de permettre à l’acheteur de voler votre identité, cela vaut encore plus. Les lots de données de carte de crédit les plus précieux incluent généralement suffisamment d’informations pour que l’acheteur puisse assumer complètement l’identité des propriétaires légitimes, ou au moins suffisamment d’informations pour effectuer des opérations telles que rediriger le courrier du propriétaire, comme première étape vers le vol de son identité.
Il convient de noter qu’il existe une différence significative dans la manière dont les frais frauduleux sont traités lorsqu’une carte de crédit est utilisée et lorsqu’une carte de débit bancaire est utilisée. Dans ce dernier cas, le client est généralement responsable de toute activité frauduleuse et ne dispose que de peu ou pas de recours pour récupérer son argent puisque celui-ci est déjà dépensé au moment de la transaction. Les cartes de crédit, en revanche, ont la société émettrice de la carte de crédit comme intermédiaire, de sorte que la société émettrice de la carte de crédit a tendance à être responsable de l'activité frauduleuse. Les lois de votre pays et les pratiques de votre banque peuvent varier.
Comment est-il fait?
Comme pour toute opération, les méthodes offrant le taux de rendement le plus élevé sont privilégiées. Par ordre d'importance, les principaux critères qui déterminent la valeur des données de carte de crédit volées sont :
- validité:les cartes ne doivent pas être annulées et avoir une certaine autorisation
- volume: une seule carte de crédit ne vaut pas grand-chose. Plus on est de fous, plus on rit
- limite de crédit: les cartes de plus grande valeur valent plus. Les données de cartes volées dans des lieux où se rassemblent des personnes aux revenus plus élevés valent probablement plus
Les méthodes de vol privilégiées porteront sur la meilleure combinaison de ces trois critères. Voici quelques-unes des méthodes les plus courantes de vol de cartes de crédit.
Violations de données sur le site Web
Réussi violations de données sur les sites Web, commencez par le volume. Des sites Web mal sécurisés peuvent permettre le vol de milliers, voire de dizaines de milliers de cartes de crédit à la fois. À partir de là, les deux autres critères peuvent être établis : combien sont valides et combien appartiennent à des propriétaires de grande valeur.
Les violations de sites Web sur des sites Web de grande envergure sont généralement plus difficiles que le vol sur des sites de fournisseurs ponctuels et plus petits, mais la plupart des violations de sites Web ont une chose en commun. Le site Web peut mettre du temps à se rendre compte qu’il a été piraté, voire même s’il le découvre. Si les propriétaires de sites Web découvrent que les sites ont fait l'objet d'une violation, il y a généralement un délai jusqu'à ce que l'étendue de la violation soit découverte et que des notifications soient envoyées aux clients concernés. Lorsque tous ces retards sont réunis, les violations de sites Web sont intéressantes car elles peuvent donner au voleur un long délai pour vendre les cartes avant même que l’on sache qu’elles ont été volées.
Écrémage de carte
L’écrémage des cartes de crédit n’est pas la même chose que l’ancienne technique. Ce type d'écrémage consiste à apposer une sorte de dispositif mécanique sur un lecteur de carte légitime pour enregistrer les données de la carte de crédit. Dans les pays dotés de technologie, une caméra est également généralement installée pour enregistrer la saisie du code PIN.
Aaron Poffenberger,
https://www.flickr.com/photos/27047834@N02/5562783372
Une fois qu'une carte est créée, elle peut être utilisée de plusieurs manières. Suffisamment d'informations ont déjà été collectées pour que la carte puisse être utilisée en ligne ou dans d'autres situations sans code PIN. Si le code PIN est également collecté, les cartes peuvent alors être créées et vendues. Des cartes de crédit d'apparence légitime programmées avec des données de carte de crédit fonctionnelles peuvent être créées et vendues.
Les voleurs qui utilisent des skimmers retirent généralement leurs appareils après une courte période de temps. Si le skimmer est découvert, il est généralement possible de déterminer la période à laquelle il a été déployé. À partir de là, la société émettrice de la carte de crédit peut annuler et remplacer les cartes utilisées sur ce site pendant cette période. Cela rendrait l’ensemble du lot de cartes sans valeur.
Les écumeurs sont généralement déployés sur des machines dans des zones peu surveillées par les humains. Les pompes à essence, les distributeurs automatiques isolés et les lave-autos sont des cibles idéales pour les écumeurs. Les zones très attractives connues pour être surveillées par des caméras ou du personnel de sécurité tels que les guichets automatiques bancaires sont moins susceptibles d'être utilisées pour des opérations de écrémage.
Copier manuellement les informations cc
L’objectif de la copie manuelle des données de carte de crédit est le même que celui du survol, mais aucune machine n’est impliquée. Le meilleur environnement pour la copie manuelle est celui où vous vous attendez à ce que votre carte de crédit soit cachée à votre vue pendant une courte période, par exemple lorsque vous payez l'addition dans un restaurant. Dans ces quelques instants, le serveur peut copier votre numéro de carte de crédit, son expiration et son CVV avant de vous restituer la carte.
La copie manuelle ne fonctionne pas très bien dans les pays où les cartes à puce et à code PIN sont largement déployées, car le serveur n'aurait pas facilement accès à votre code PIN au moment de la copie. Le meilleur des cas est d’essayer de regarder le client saisir son code PIN et de l’enregistrer après coup.
Arnaques par téléphone et par e-mail
Parfois, les escroqueries utilisant des technologies moins avancées peuvent fonctionner, en particulier contre les personnes qui n’utilisent pas autant Internet. Une arnaque téléphonique typique aura les mêmes caractéristiques qu'une arnaque par courrier électronique . L’escroc décrira qu’une mauvaise chose est sur le point de se produire à moins que vous ne payiez immédiatement une somme d’argent, en utilisant votre carte de crédit, bien sûr.
La plupart des escroqueries fonctionnent par téléphone ou par courrier électronique et peuvent inclure des promesses telles que :
- Des vacances bon marché qui nécessitent un paiement immédiat pour garantir votre place
- Un organisme de bienfaisance qui tire sur votre cœur pour mettre fin à de terribles atrocités
- Offres d'achat de médicaments normalement indisponibles ou de médicaments à un tarif très réduit
- Menaces juridiques ou d'arrestation de la part des agences gouvernementales
Les escroqueries téléphoniques tenteront d'obtenir les informations de votre carte de crédit lors de l'appel. Escroqueries par hameçonnage par e-mail sont un peu plus approfondis dans la mesure où ils contiendront un lien vers une page de paiement réaliste dans l’espoir que vous y irez et saisirez les informations sensibles de votre carte de crédit.
Que fait l’industrie pour résoudre ce problème ?
La plus grande avancée en matière de sécurité des cartes à ce jour est EMV, ou.
À l’origine, les commerçants n’avaient besoin que de capturer la signature du client pour traiter la vente. Cette mesure de sécurité ridicule a existé pendant de nombreuses décennies et existe encore aujourd’hui dans certains pays. Les processeurs de paiement modernes émettent des cartes contenant des puces cryptées et peuvent exiger que le propriétaire de la carte saisisse un code PIN pour effectuer un achat. La puce intégrée à la carte génère des codes à usage unique pour chaque transaction . Même si le contenu de la puce pouvait être copié, le code de transaction copié généré par la puce ne serait pas valide pour les ventes successives.
Ces types de cartes de crédit sont appelées cartes EMV qui font référence à Europay, Mastercard et Visa ; les trois partenaires fondateurs de la norme. Familièrement, ces cartes sont connues sous le nom de cartes à puce et à code PIN, bien que des cartes à puce et à signature existent pour les zones moins technologiques. Les cartes EMV ont encore actuellement une bande magnétique au dos, comme le faisaient les cartes pré-EMV, pour une compatibilité ascendante. Il existe des machines qui ne peuvent pas traiter l'EMV et les machines tombent parfois en panne, donc la bande magnétique sera probablement là pendant un certain temps encore.
Les fournisseurs qui ont entièrement mis en œuvre les cartes EMV ne pourront traiter les ventes par carte de crédit qu'une fois que le client aura saisi son code PIN. Dans ces cas-là, les cartes EMV sont intrinsèquement protégées contre les méthodes de vol historiques telles que le vol du courrier postal. Même les codes PIN initiaux envoyés avec de nouvelles cartes sont envoyés dans un envoi différent, obligeant ainsi un voleur à garder le contrôle du courrier postal d'une victime pendant plusieurs jours. Cependant, tous les fournisseurs n'ont pas entièrement implémenté la partie « PIN » de « Chip and PIN ». Plus particulièrement, les États-Unis n’ont toujours pas largement adopté la saisie du code PIN pour les cartes EMV et utilisent toujours des signatures pour la plupart des transactions.
La puce EMV, associée à la prolifération des terminaux de paiement sans fil dans les restaurants, a également réduit le nombre de cas où la carte quitte la vue de son propriétaire, ce qui contribue à réduire les possibilités de copie manuelle.
Les cartes EMV résistent également au écrémage mécanique. Les données de la carte de crédit sont codées sur la bande magnétique et peuvent être copiées par un skimmer, mais les données cryptées de la puce ne peuvent pas être copiées. Cela augmente la complexité d'une attaque d'écrémage, car l'attaquant doit non seulement apposer un skimmer discret, mais il doit également déployer une caméra ou une autre méthode pour piéger le code PIN. Chaque équipement supplémentaire augmente le risque de détection.
Cela dit, il existe un énorme marché pour les transactions Card Not Present (CNP). Il s'agit de transactions par carte de crédit de tout type pour lesquelles la carte ne se trouve pas au point de vente. Les ventes par Internet et par téléphone sont les exemples les plus courants de transactions CNP. La carte n'étant pas présente, il n'est pas possible de saisir un code PIN. La transaction est donc traitée en utilisant uniquement le numéro de carte, la date d'expiration et le CVV. Certains fournisseurs qui traitent les ventes CNP tentent de réduire le risque en collectant des informations supplémentaires telles qu'une adresse de livraison, qu'ils font ensuite correspondre à l'adresse de facturation de la carte. Certains émetteurs de cartes ont créé des programmes dans lesquels le titulaire de la carte doit effectuer une étape distincte en ligne en se rendant sur le site des émetteurs de cartes. Mais ces programmes sont aussi maladroits que les méthodes originales de vérification des cartes de crédit d’antan et n’ont pas gagné beaucoup de popularité. Cela signifie que les cartes EMV peuvent toujours être utilisées en ligne pratiquement sans entrave.
Comment puis-je me protéger ?
La plupart d’entre nous ne s’inquiètent probablement pas beaucoup du vol de notre carte de crédit. Depuis octobre 2015, si une fraude par carte de crédit se produit aux États-Unis, la partie la moins conforme à la norme EMV sera responsable de la perte et cette partie ne serait jamais le titulaire de la carte. Un émetteur de carte devrait prouver sa négligence ou sa complicité pour transférer la responsabilité au titulaire de la carte, ce qui est très difficile à faire. Par conséquent, il peut sembler que le pire résultat serait de devoir passer quelques jours sans carte de crédit pendant son remplacement. En réalité, les données de votre carte de crédit peuvent être plus précieuses en tant que point d’entrée dans votre vie et première étape vers le vol de votre identité.
La première étape consiste à essayer de prévenir le vol en premier lieu. Lorsque vous utilisez votre carte de crédit sur Internet, assurez-vous de la saisir uniquement via une connexion cryptée HTTPS dans votre navigateur Web. Alors que toutes les connexions HTTPS ne garantissent pas la fiabilité du site, cela protégera au moins vos données contre le vol lors du transit sur Internet en route vers le site Web. Hors Internet, gardez un œil vigilant sur les skimmers. Lorsque vous insérez votre carte dans une machine, regardez-la pour voir si elle semble étrange. Bien qu'aucun d'entre nous ne sache exactement à quoi ressemble chaque distributeur de cartes de crédit sur la planète, il peut y avoir des signes révélateurs qu'un distributeur a été falsifié. Les fentes pour cartes avec des cadres mal ajustés, du ruban adhésif lâche et des plaques d'instructions mal faites sont autant de signes d'écrémage potentiel.
Aaron Poffenberger, https://www.flickr.com/photos/dabdiputs/5713351185
Même si les informations de votre carte ont été consultées à votre insu, vous pouvez toujours prendre des mesures pour vous protéger.
Les méthodes les plus efficaces pour rassembler un grand nombre de cartes de crédit ne signalent pas que votre carte a été volée. Les violations de sites Web et les skimmers mécaniques volent furtivement les informations de votre carte de crédit et vous ne saurez probablement même pas que cela s'est produit. Cependant, le voleur voudra valider votre carte pour augmenter sa valeur sur le marché de la revente. Cela se fait généralement en débitant un petit montant sur votre carte, ce qui est un signe d'avertissement. Si vous voyez un petit frais que vous ne reconnaissez pas, cela pourrait être un succès de validation. Dans ce cas, vous souhaiterez contacter votre société de carte de crédit et le signaler.
Vérifier en permanence le solde et les transactions de votre carte de crédit peut prendre beaucoup de temps. Certaines sociétés émettrices de cartes de crédit offrent la possibilité de configurer des alertes de transaction. Il n’existe pas de norme concernant les types d’alertes qu’une société émettrice de cartes de crédit peut proposer, mais si vous êtes en mesure de configurer des notifications de transaction, cela peut vous avertir à l’avance d’un problème. N'oubliez pas que les frais de validation sont généralement faibles, alors configurez vos alertes pour qu'elles se déclenchent sur toutes les transactions plutôt que uniquement sur les transactions de valeur plus élevée. Certains émetteurs de cartes de crédit commencent à proposer une authentification à deux facteurs sur toutes les transactions. Cela signifie qu'une fois votre transaction terminée au terminal, vous recevrez un message texte pour confirmer que la transaction est valide avant qu'elle ne soit publiée sur votre compte. Cela peut aider à lutter contre la fraude CNP lorsqu'un code PIN ne constitue pas une mesure de sécurité réalisable et vous devez l'activer si votre carte le propose.
Enfin, sachez qu’aucune banque ou autorité gouvernementale légitime ne vous téléphonera pour vous demander les informations de votre carte de crédit par téléphone. Soyez extrêmement prudent lorsque vous fournissez ce type d'informations par téléphone et ne le faites que lorsque vous êtes sûr à 100 % de l'identité de la personne avec qui vous parlez. Une bonne tactique consiste à demander un numéro pour rappeler la personne. Un escroc ne sera généralement pas disposé à fournir un tel numéro, auquel cas vous pouvez être presque certain qu'il s'agit d'une arnaque. S'ils fournissent un numéro, raccrochez et recherchez ce numéro de téléphone à l'aide d'un moteur de recherche Internet comme Google. Vous pourrez probablement découvrir très rapidement si ce numéro appartient à l'organisation dont la personne prétend appartenir, et découvrirez également que le numéro a déjà été utilisé dans des escroqueries. Si vous ne parvenez pas à trouver d’informations sur le numéro, c’est un signal d’alarme indiquant qu’il s’agit d’une arnaque.
Que dois-je faire si ma carte a été volée ?
Signalez dès que possible toute fraude présumée ou réelle par carte de crédit à l’émetteur de la carte. Ils annuleront généralement votre carte immédiatement et la remplaceront. Cela évitera d’autres frais frauduleux. Dans la plupart des cas, l'émetteur de la carte de crédit annulera également les frais frauduleux après une enquête.
L'étape suivante consiste à contacter le ou les bureaux de crédit concernés dans votre pays pour signaler le vol de votre carte. Même si les agences d’évaluation du crédit ne peuvent pas faire grand-chose pour remplacer votre carte ou rembourser les achats frauduleux, elles peuvent placer une alerte à la fraude dans votre dossier. Cela peut être utile en cas de nouvelle fraude d'identité perpétrée contre vous suite au vol de votre carte de crédit.
Une fois que vous avez résolu le problème immédiat, signalez la fraude aux autorités de votre pays respectif. Cela peut aider à authentifier le vol et l'émetteur de votre carte de crédit peut exiger un rapport de police dans le cadre de son enquête.
Dans tous les pays, signalez la fraude par carte de crédit à votre police locale. Le vol et la fraude par carte de crédit sont des délits et votre service de police local rédigera un rapport et prendra toute mesure future applicable.
Au Royaume-Uni, Action Fraud prendra également votre rapport de fraude , mais on ne sait pas exactement ce qu'ils font avec ces informations. Vous souhaiterez peut-être également le signaler à votre police locale.