Si vous utilisez des guichets automatiques et des pompes à essence, vous devez être au courant de ces attaques. Armés des bonnes connaissances, il est en fait assez facile de repérer la plupart des écumeurs - bien que, comme pour tout le reste, ces types d’attaques continuent de progresser.
Comment fonctionnent les skimmers
Un skimmer a traditionnellement deux composants. Le premier est un petit périphérique généralement inséré dans le logement de carte. Lorsque vous insérez votre carte, l'appareil crée une copie des données sur la bande magnétique de votre carte. La carte passe à travers le périphérique et entre dans la machine, de sorte que tout semble fonctionner normalement - mais les données de votre carte viennent d'être copiées.
La deuxième partie de l'appareil est une caméra. Une petite caméra est placée quelque part où elle peut voir le clavier, peut-être en haut de l’écran d’un guichet automatique, juste au-dessus du pavé numérique ou sur le côté du pavé numérique. La caméra est dirigée vers le clavier et elle vous permet de saisir votre code PIN. Le terminal continue de fonctionner normalement, mais les assaillants ont simplement copié la bande magnétique de votre carte et volé votre code PIN.
Les attaquants peuvent utiliser ces données pour programmer une fausse carte avec les données de la bande magnétique et l'utiliser dans d'autres guichets automatiques, en entrant votre code PIN et en retirant de l'argent de vos comptes bancaires.
Cela dit, les écumoires deviennent également de plus en plus sophistiqués. Au lieu d’un appareil monté sur un emplacement pour carte, un skimmer peut être un petit appareil imperceptible inséré dans l’emplacement pour carte lui-même, souvent appelé un miroiter.
Au lieu d'une caméra pointée sur le clavier, les attaquants peuvent également utiliser une incrustation, un faux clavier monté sur le clavier réel. Lorsque vous appuyez sur un bouton du faux clavier, il enregistre le bouton sur lequel vous avez appuyé et appuie sur le véritable bouton situé en dessous. Ce sont plus difficiles à détecter. Contrairement aux appareils photo, ils sont également assurés de capturer votre code PIN.
Comment repérer les écumeurs de carte de crédit
Voici quelques astuces pour repérer les skimmers de cartes. Vous ne pouvez pas repérer tous les skimmer, mais vous devez absolument jeter un coup d’œil rapide avant de retirer de l’argent.
- Secouer le lecteur de carte: Si le lecteur de carte bouge lorsque vous essayez de le secouer avec votre main, quelque chose ne va probablement pas. Un vrai lecteur de carte doit être si bien attaché au terminal qu’il ne bouge pas: une écumoire superposée au-dessus du lecteur de carte peut se déplacer.
- Regarde le terminal: Jetez un coup d’œil au terminal de paiement lui-même. Est-ce que quelque chose semble un peu hors de propos? Le panneau inférieur a peut-être une couleur différente du reste de la machine car il s’agit d’un faux morceau de plastique placé sur le panneau inférieur et sur le clavier. Peut-être y at-il un objet étrange qui contient une caméra.
- Examiner le clavier: Le clavier a-t-il un aspect un peu trop épais ou différent de son apparence habituelle si vous avez déjà utilisé la machine? Il peut s'agir d'une superposition sur le clavier réel.
- Vérifier les caméras: Déterminez le lieu où un attaquant pourrait masquer une caméra, quelque part au-dessus de l'écran ou du clavier, ou même dans le porte-brochure de la machine.
- Utilisez Skimmer Scanner pour Android: Si vous utilisez un téléphone Android, il existe un nouvel outil génial, appelé Skimmer Scanner, qui permet de rechercher les périphériques Bluetooth à proximité et de détecter les skimmers les plus courants du marché. Ce n’est pas infaillible, mais c’est un excellent outil pour trouver des écumeurs modernes qui transmettent leurs données via Bluetooth.
Si vous trouvez quelque chose de grave, un lecteur de carte qui bouge, une caméra cachée ou un pavé numérique, assurez-vous d’avertir la banque ou l’entreprise en charge du terminal. Et bien sûr, si quelque chose ne vous semble pas juste, allez ailleurs.
Autres précautions de sécurité de base à prendre
Vous pouvez trouver des skimmers ordinaires et peu coûteux dotés de techniques telles que tenter de secouer le lecteur de carte. Mais voici ce que vous devriez toujours faire pour vous protéger lorsque vous utilisez un terminal de paiement:
- Protégez votre NIP avec votre main: Lorsque vous entrez votre code PIN dans un terminal, protégez-le avec votre main. Oui, cela ne vous protégera pas contre les skimmers les plus sophistiqués qui utilisent des superpositions de clavier, mais vous êtes beaucoup plus susceptible de tomber sur un skimmer qui utilise un appareil photo - ils sont beaucoup moins chers pour les criminels. C'est le conseil numéro un que vous pouvez utiliser pour vous protéger.
- Surveillez vos transactions bancaires: Vous devriez vérifier régulièrement vos comptes bancaires et vos comptes de carte de crédit en ligne. Vérifiez les transactions suspectes et informez votre banque le plus rapidement possible. Vous souhaitez résoudre ces problèmes le plus rapidement possible. N'attendez pas que votre banque vous envoie un relevé imprimé un mois après que l'argent ait retiré de votre compte de votre compte. Des outils comme Mint.com, ou un système d'alerte que votre banque pourrait proposer, peuvent également vous aider, vous avertissant lorsque des transactions inhabituelles ont lieu.
- Utiliser des systèmes de paiement sans contact: Le cas échéant, vous pouvez également vous protéger en utilisant des outils de paiement sans contact tels qu'Android Pay ou Apple Pay. Celles-ci sont intrinsèquement sécurisées et contournent complètement tout type de système de balayage, de sorte que votre carte (et ses données) ne parviennent jamais à la rendre près du terminal. Malheureusement, la plupart des distributeurs automatiques de billets n'acceptent toujours pas les méthodes de retrait sans contact, mais au moins, cela devient de plus en plus courant aux pompes à essence.
L'industrie cherche des solutions… lentement
Tout comme le secteur des skimmers tente constamment de trouver de nouveaux moyens de voler vos informations, le secteur des cartes de crédit utilise de nouvelles technologies pour protéger vos données. La plupart des entreprises ont récemment opté pour les puces EMV, ce qui rend le vol des données de votre carte presque impossible, car elles sont beaucoup plus difficiles à reproduire.
Le problème est que, alors que la plupart des sociétés de cartes et des banques ont rapidement adopté cette nouvelle technologie, de nombreux lecteurs de cartes (terminaux de paiement, guichets automatiques, etc.) continuent à utiliser la méthode traditionnelle du balayage. Tant que ces systèmes sont toujours en place, les skimmers seront toujours un risque. À ce jour, je ne peux pas dire que j’ai vu un seul terminal DAB ou un terminal de pompe à essence utilisant le système à puce, qui ont tous les deux la plus grande probabilité d’avoir un écumoire. Nous espérons que le système à puce deviendra de plus en plus prolifique au niveau des terminaux de paiement lors de la transition vers 2018.
Mais jusque-là, vous pouvez utiliser les étapes décrites dans ce document pour vous protéger le plus possible. Comme je l’ai dit, ce n’est pas infaillible, mais faire ce que vous pouvez aidera à protéger vos données et vos finances n’est jamais une mauvaise idée.
Pour en savoir plus sur ce sujet terrifiant ou simplement pour voir des photos de tout le matériel écrémé impliqué, consultez la série All About Skimmers de Brian Krebs sur Krebs on Security. C’est un peu daté à ce stade, avec de nombreux articles remontant à 2010, mais cela reste tout à fait pertinent pour les attaques d’aujourd’hui et mérite d’être lu si vous êtes intéressé.
