Comptes de carte de débit volés lors d’une récente effraction d’un pirate informatique au processeur de carte Paiements mondiaux se sont manifestés dans des incidents de fraude chez des détaillants à Las Vegas et ailleurs, selon des responsables d’une banque touchée par la fraude.
Début mars 2012, Danbury, Connecticut basé Caisse d’épargne syndicale a commencé à voir un modèle inhabituel de fraude sur une douzaine de cartes de débit émises, notant que la plupart des cartes avaient récemment été utilisées dans le même café d’une école privée voisine. Lorsque la banque a déterminé que l’école était cliente de Global Payments, elle a contacté Visa pour alerter l’association des cartes d’une éventuelle violation au niveau du processeur basé à Atlanta, selon Doug Fullerdirecteur des risques de l’Union Savings Bank.
C’est alors que l’USB a entendu parler de Tony Higginpuis enquêteur fraude chez Vonsune chaîne d’épiceries du sud de la Californie et du Nevada détenue par Safeway inc.
Selon Fuller, Higgins a déclaré que les fraudeurs venaient dans les magasins pour acheter des cartes prépayées de marque Safeway à faible dénomination, puis encodaient les comptes de carte de débit émis par USB sur la bande magnétique au dos des cartes prépayées. Les voleurs ont ensuite utilisé ces cartes pour acheter des cartes prépayées supplémentaires avec des valeurs beaucoup plus élevées, qui ont ensuite été utilisées pour acheter des appareils électroniques et d’autres produits à prix élevé auprès d’autres détaillants.
« Higgins a dit: » Vous avez un problème « », se souvient Fuller, à propos d’une conversation téléphonique que la banque a eue avec Higgins début mars. «Il a dit qu’il avait un grand nombre de ces personnes qui traversaient leurs magasins Vons et Safeway pour échanger des cartes. Il les avait sur bande de surveillance, savait d’où ils venaient et tout.
Higgins a déclaré à USB que la fraude qu’il voyait était principalement à Las Vegas, mais qu’il y avait également une activité de carte frauduleuse dans les États voisins du sud-ouest.
« Il avait une théorie selon laquelle ces gars sont venus de Los Angeles et de San Diego à Vegas juste pour faire ces transactions, puis sont revenus », a déclaré Fuller.
La fraude décrite par Higgins correspondait à l’activité non autorisée qu’ils avaient vue découler de comptes utilisés à la cafétéria de l’école privée. Fuller a déclaré que Visa avait alerté l’Union Savings Bank qu’environ 1 000 comptes de débit qu’elle avait émis avaient été compromis dans la violation de Global Payments, y compris la douzaine de comptes de carte qui avaient initialement incité USB à enquêter.
Les responsables de l’USB affirment que la banque a subi environ 75 000 dollars de frais frauduleux et qu’elle a jusqu’à présent dépensé près de 10 000 dollars pour réémettre des cartes clients.
D’autres banques notifiées par Higgins ont subi des pertes beaucoup plus élevées, a déclaré Fuller. « Monsieur. Higgins nous a dit que les voleurs avaient également frappé Bank of Oklahoma et Fulton Bank of New Jersey. Il a dit que Fulton avait été frappé très durement par ces gars, à hauteur d’environ mille [stolen card accounts] chaque semaine. »
Higgins n’a pas pu être joint pour commenter. Les responsables de Safeway ont confirmé qu’il avait pris sa retraite de l’entreprise le mois dernier, mais ont refusé de discuter du travail de Higgins ou des incidents qui l’ont incité à alerter USB et d’autres institutions financières touchées par la violation de Global Payments. Ni la Bank of Oklahoma ni la Fulton Bank n’ont répondu aux demandes répétées de commentaires.
L’expérience de l’Union Savings Bank illustre comment les fraudeurs peuvent extraire de la valeur des cartes de débit même s’ils ne disposent que de certaines des données associées aux comptes. Les premières alertes concernant la violation de Visa et MasterCard indiquaient que la violation chez Global Payments compromettait à la fois les données Track 1 et Track 2 des comptes de carte concernés, ce qui signifie que les voleurs pourraient produire des versions contrefaites des cartes et éventuellement commettre d’autres actes de vol d’identité contre les titulaires de carte. Global Payments affirme que seules les données de la piste 2 ont été prises et que les noms, adresses et autres données des titulaires de carte n’ont pas été obtenus par les criminels.
Pourtant, comme le montre l’histoire d’USB, les données de la piste 2 suffisaient à elles seules pour que les escrocs encodent le numéro de carte et la date d’expiration sur toutes les cartes équipées d’une bande magnétique. Les cartes pourraient ensuite être utilisées chez n’importe quel commerçant qui accepte le débit par signature – des transactions qui n’exigent pas que le titulaire de la carte entre son NIP.
Visa et MasterCard ont chacun révoqué leur certification de Global Payments en tant que processeur de carte conforme. Global Payments a déclaré qu’il enquêtait toujours sur la cause et l’étendue de l’incident. La société affirme que moins de 1,5 million de comptes de carte ont été volés, mais certains acteurs du secteur pensent désormais plus de 7 millions de comptes cartes peut avoir été compromis. Pendant ce temps, les associations de cartes continuent d’élargir la fenêtre de temps pendant laquelle les pirates ont probablement eu accès au réseau du processeur. Initialement, Visa et MasterCard ont déclaré que la fenêtre de violation chez Global Payments se situait entre janvier et février 2012, mais lors de la dernière série d’alertes envoyées aux banques touchées par la violation, les marques de cartes averti que la violation remonte au moins au début de juin 2011.
L’expérience d’USB soulève également de nouvelles questions sur le moment de la découverte de la violation. Global Payments dit avoir découvert et signalé lui-même la violation le 8 mars, mais Fuller a déclaré que sa banque avait compris que Global Payments avait un problème et avait signalé la fraude avant cela.
« Global dit que cela a été découvert par lui-même, mais savait déjà que c’était eux au début du mois de mars, car dans les 48 heures après qu’un client nous a dit qu’il avait des problèmes, nous avons compris que c’était Global et alerté Visa », a déclaré Fuller. «Nous allons avertir Global que nous les tenons responsables, car nous saignons ici. Certes, une perte de soixante-quinze mille dollars n’est pas la fin du monde, mais quand vous avez une grande institution comme Global qui ne veut pas accepter la responsabilité de ce qui s’est passé, c’est un peu ennuyeux.