En juillet 2011, un client d’une succursale de la Chase Bank à West Hills, en Californie, a remarqué quelque chose d’étrange à propos du guichet automatique qu’il utilisait et l’a signalé à la police. Les autorités qui ont répondu à l’incident ont découvert un skimmer ATM sophistiqué et de qualité professionnelle qui, selon elles, a été fabriqué à l’aide d’une imprimante 3D.
Vous trouverez ci-dessous une image de face de l’appareil. Il s’agit d’un skimmer tout-en-un conçu pour s’adapter sur la fente d’acceptation de la carte et pour enregistrer les données de la bande magnétique de toute carte plongée dans le lecteur. Le dispositif de fraude est montré de côté sur cette image ; attaché à un guichet automatique réel, il semblerait tourné de 90 degrés vers la droite, de sorte que le mot « CHASE » pointe vers le bas.
Au bas de la fausse fente d’acceptation de la carte se trouve un petit trou pour une caméra espion intégrée connectée à une batterie. La caméra espion s’allume lorsqu’une carte est plongée dans la fente d’acceptation de carte de l’écumoire et est inclinée pour enregistrer les codes PIN des clients.
Le bas du dispositif d’écumoire est conçu pour recouvrir les commandes du distributeur automatique de billets pour les utilisateurs de guichets automatiques malvoyants. Sur le dessous de cet espace se trouve un port de données pour permettre le téléchargement manuel des informations du skimmer.
Regarder à l’arrière de l’appareil montre le véritable facteur geek de cet écumeur ATM. Le fraudeur qui l’a construit semble avoir cannibalisé des pièces d’une caméra vidéo ou peut-être d’un smartphone (éventuellement pour permettre la transmission sans fil de la vidéo de saisie du code PIN et des données de carte volée au fraudeur via SMS ou Bluetooth). C’est dommage qu’une grande partie de l’écumoire soit masquée par du plastique jaune. J’accueillerais volontiers les commentaires des lecteurs qui peuvent facilement identifier ces pièces sur la base des informations limitées ici.
Voici un aperçu de la carte de circuit imprimé sur le dessus, qui ressemble à un type de périphérique de stockage Flash :
Voici un autre regard sur les pièces électroniques calées à l’arrière du skimmer :
Il ressort de l’image suivante que la capacité de stockage de données sur l’appareil est connectée directement au lecteur de bande magnétique (en haut, fil argenté), tandis que la caméra vidéo de l’appareil est calée derrière le sténopé (en bas, fils dorés).
L’enquêteur avec qui j’ai parlé de l’incident ne savait pas grand-chose des entrailles de l’appareil et a déclaré que les responsables n’avaient pas encore été arrêtés. Mais il avait quelque chose d’intéressant à me dire sur les origines du skimmer : « On pense que le skimmer vert a été fabriqué avec le procédé de stéréolithographie. » Traduction : les flics pensent que les voleurs ont fabriqué les moules de l’écumeur de cartes à l’aide d’imprimantes 3D.
Ces machines de haute technologie et coûteuses prennent des images informatiques en deux dimensions et les construisent en modèles en trois dimensions en déposant des couches successives de poudre qui sont chauffées, façonnées et durcies. En septembre, j’ai détaillé comment des enquêteurs américains avaient arrêté quatre hommes au Texas qui auraient construit leurs écumeurs de guichets automatiques à l’aide d’une imprimante 3D qu’ils avaient achetée avec le produit de leur entreprise d’écrémage.
Dans l’actualité connexe, Cyrus Vance, procureur du comté de New York plus tôt ce mois-ci, a annoncé un acte d’accusation de 81 chefs d’accusation contre trois hommes soupçonnés d’avoir planté des skimmers dans des distributeurs automatiques de billets à Manhattan. L’acte d’accusation allègue que les hommes ont utilisé les skimmers pour voler les numéros de carte de débit de près de 1 500 personnes, puis ont exploité les numéros de carte de débit volés pour réaliser plus de 285 000 $ en transactions frauduleuses.
Dans le communiqué de presse accompagnant l’acte d’accusation, le procureur publié plusieurs images des dispositifs d’écumoire prétendument plantés par le trio de Manhattan. Alors que ces appareils reposaient sur une façade séparée qui contenait une caméra vidéo cachée pour enregistrer les codes PIN des clients, il ne fait aucun doute que la même conception de guichet automatique Chase était ciblée. Dans l’image ci-dessous, la caméra cachée est le bloc argenté carré monté verticalement à gauche du clavier NIP. Une image agrandie de la façade de la caméra suit celle-ci.
Un guichet automatique compromis à Manhattan. Image : NYCDA.
Une caméra cachée et une pièce d’écumeur de cartes saisies par les autorités de Manhattan.
Images de caméra cachée d’un client saisissant son code PIN. Image : NYCDA.
Si vous visitez un distributeur de billets qui semble étrange, trafiqué ou déplacé, essayez de trouver un autre guichet automatique. Et rappelez-vous, le conseil de sécurité le plus important est de faire attention à votre propre sécurité physique lorsque vous utilisez un guichet automatique : n’utilisez que des machines dans des zones publiques bien éclairées et évitez les guichets automatiques dans des endroits isolés. De plus, couvrez le clavier NIP avec votre main lorsque vous entrez votre NIP : De cette façon, même si les voleurs parcourent votre carte d’une manière ou d’une autre, il y a moins de chances qu’ils puissent également s’emparer de votre NIP.
Si vous avez aimé cet article, pensez à consulter les autres histoires de ma série d’écumeurs ATM, Tout sur les écumeurs.