[ad_1]

Une histoire de BreachTrace le mois dernier sur les écumoires de cartes de crédit trouvées dans les voies de paiement en libre-service à certains Walmart les lieux ont été repris par de nombreuses publications. Depuis lors, j’ai entendu plusieurs lecteurs qui travaillent chez des détaillants qui utilisent des centaines de milliers de ces Ingenico terminaux de cartes de crédit dans leurs magasins, et tous voulaient savoir la même chose : comment pouvaient-ils savoir si leurs voies de paiement en libre-service étaient compromises ? Ce billet fournit quelques indications.

Heureusement, quelques jours avant mon histoire, le fournisseur de points de vente Ingenico a produit un tutoriel sur la façon de repérer un skimmer sur les voies de paiement en libre-service alimentées par les terminaux de carte Ingenico iSC250. Malheureusement, il ne semble pas que ce rapport ait été largement diffusé, car je reçois encore des questions de lecteurs chez les détaillants qui utilisent ces appareils.

Les étriers rouges dans l'image ci-dessus montrent les différences de taille dans diverses zones visibles de la superposition du boîtier à gauche par rapport à l'ISC250 réel à droite.  Source : Ingenico.

Les étriers rouges dans l’image ci-dessus montrent les différences de taille dans diverses zones visibles de la superposition du boîtier à gauche par rapport à l’iSC250 réel à droite. Source : Ingenico.

« Pour que la superposition s’adapte au sommet du point de vente [point-of-sale] terminal, il doit être plus long et plus large que l’appareil cible », lit-on dans un bulletin de sécurité du 16 mai 2016 obtenu par BreachTrace. « Pour cette raison, la superposition du boîtier apparaîtra sensiblement plus grande que le terminal de point de vente réel. Il s’agit de la principale caractéristique d’identification du dispositif d’écrémage. Une superposition de skimmer de l’iSC250 mesure plus de 6 pouces de large et 7 pouces de haut tandis que l’iSC250 lui-même mesure 5 9/16 pouces de large et 6 1⁄2 pouces de haut.

De plus, le dispositif d’écrémage que les voleurs peuvent fixer en un clin d’œil au-dessus du lecteur de carte de paiement en libre-service Ingenico empêche le rétroéclairage de traverser la superposition du faux clavier PIN.

Le rétroéclairage peut être mieux vu en ombrageant le clavier des lumières de la pièce.  L'image de gauche est un ISC250 légitime sous tension affiché avec le clavier ombré.  Le rétroéclairage peut être vu par rapport à un ISC250 éteint sur l'image de droite.  Source : Ingenico.

Le rétroéclairage peut être mieux vu en ombrageant le clavier des lumières de la pièce. L’image de gauche est un iSC250 légitime sous tension affiché avec le clavier grisé. Le rétroéclairage peut être vu par rapport à un iSC250 éteint sur l’image de droite. Source : Ingenico.

De plus, les dispositifs de superposition d’écrémage bloquent actuellement le voyant LED vert qui s’allume lors des lectures de cartes sans contact comme Apple Pay.

Le voyant LED vert qui s'allume lors des paiements sans contact est obscurci par le skimmer de superposition.  Source : Ingenico.

Le voyant LED vert qui s’allume lors des paiements sans contact est obscurci par le skimmer de superposition. Source : Ingenico.

Les dispositifs d’écrémage de superposition illustrés ici incluent leurs propres petites têtes de lecture magnétiques pour saisir les données de carte de la bande magnétique lorsque les clients glissent leurs cartes. Par conséquent, ces minuscules lecteurs interfèrent souvent avec le lecteur de carte magnétique légitime sur l’appareil sous-jacent, ce qui signifie que les lignes d’auto-paiement compromises peuvent se déplacer un peu plus lentement que les autres.

« La conception de la superposition semble parfois interférer avec les lectures de bande magnétique, entraînant un plus grand nombre d’échecs de lecture », a écrit Ingenico.

Enfin, tous les terminaux de paiement incluent un stylet captif que les clients utilisent pour signer leur nom après avoir glissé leur carte. Selon Ingenico, les skimmers conçus pour s’adapter à l’iSC250 semblent empêcher le placement ordinaire du stylet en raison du surplomb gênant du recouvrement du skimmer.

Le skimmer de superposition sur la gauche bloque le plateau du stylet.  L'image de droite est un appareil qui n'a pas été attaqué.

Le skimmer de superposition sur la gauche bloque le plateau du stylet. L’image de droite est un appareil qui n’a pas été attaqué.

Il est probablement vrai que la publication d’informations comme celle-ci en ligne donne aux escrocs l’occasion d’améliorer leur produit et de rendre les cadeaux révélateurs moins visibles. Cependant, cela ne va que si loin sans augmenter de manière significative le coût de ces écrémeurs superposés. Chaque écumeur iSC250 se vend déjà pour quelques centaines de dollars chacun – et c’est sans l’électronique nécessaire pour collecter et stocker les données de la carte. Le coût initial de ces appareils frauduleux est important car les fraudeurs n’ont aucune garantie qu’ils pourront récupérer leurs skimmers avant que les appareils ne soient découverts.

D’autre part, comme je l’ai mentionné plus tôt, il existe d’innombrables détaillants à l’échelle nationale qui ont des centaines de milliers de ces appareils Ingenico installés dans des voies de paiement en libre-service, ce qui signifie à son tour des millions d’employés et de clients qui sont les premières lignes de défense contre les écumeurs. Plus les gens savent ce qu’il faut rechercher dans ces dispositifs de fraude, plus les fraudeurs risquent de perdre leurs investissements initiaux – et peut-être même de se faire arrêter en essayant de les récupérer.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *