[ad_1]

« Bluetana« , une nouvelle application mobile qui recherche les écumoires de cartes de paiement basées sur Bluetooth cachées à l’intérieur des pompes à essence, aide la police et les employés de l’État à localiser plus rapidement et plus précisément les stations-service compromises à travers le pays, selon une étude publiée cette semaine. Les données recueillies au cours de l’enquête révèlent également des détails fascinants qui peuvent aider à expliquer pourquoi ces écrémeurs à pompe sont si lucratifs et omniprésents.

La nouvelle application, désormais utilisée par des agences dans plusieurs États, est une idée originale d’informaticiens du Université de Californie à San Diego et le Université de l’Illinois Urbana-Champaignqui disent avoir développé le logiciel en tandem avec l’apport technique du Services secrets américains (l’agence fédérale la plus souvent appelée pour enquêter sur les anneaux d’écrémage des pompes).

L’application de scanner d’écumoire de pompe Bluetooth ‘Bluetana’ en action.

Les pompes à essence sont une cible permanente des voleurs d’écumoires pour plusieurs raisons. Ils sont généralement sans surveillance et, dans de trop nombreux cas, une poignée de passe-partout ouvrira un grand nombre de pompes dans diverses stations-service.

Les dispositifs d’écumage peuvent ensuite être connectés à l’électronique à l’intérieur des pompes en quelques secondes, et parce qu’ils sont également câblés à l’alimentation électrique interne de la pompe, les écumeurs peuvent fonctionner indéfiniment sans avoir besoin de batteries à courte durée de vie.

Et de plus en plus, ces écumeurs de pompe sont conçus pour relayer les données de cartes volées et les codes PIN via la technologie sans fil Bluetooth, ce qui signifie que les voleurs qui les installent peuvent périodiquement télécharger des données de cartes volées simplement en s’approchant d’une pompe compromise et en se connectant à distance à partir d’un appareil compatible Bluetooth. appareil mobile ou ordinateur portable.

Selon l’étude, quelque 44 volontaires – pour la plupart des responsables de l’application des lois et des employés de l’État – ont été équipés de Bluetana au cours d’une expérience d’un an pour tester l’efficacité de l’application de numérisation.

Les chercheurs ont déclaré que leurs bénévoles avaient collecté des scans Bluetooth dans 1 185 stations-service dans six États et que Bluetana avait détecté un total de 64 écumeurs dans quatre de ces États. Tous les écrémeurs ont ensuite été récupérés par les forces de l’ordre, dont deux qui auraient été manqués lors des inspections manuelles de sécurité des pompes six mois plus tôt.

Alors que plusieurs autres applications basées sur Android conçues pour trouver des écumeurs de pompe sont déjà disponibles, les chercheurs ont déclaré que Bluetana a été développé dans le but d’éliminer les faux positifs que certaines de ces autres applications peuvent ne pas distinguer.

« La technologie Bluetooth utilisée dans ces écumeurs est également utilisée pour des produits légitimes couramment vus dans et à proximité des stations-service, tels que les panneaux de limitation de vitesse, les capteurs météorologiques et les systèmes de suivi de flotte », a déclaré Nishant Bhaskar, Ph.D. UC San Diego étudiant et auteur principal de l’étude. « Ces produits peuvent être confondus avec des skimmers par les applications de détection existantes. »

VALEUR SUR LE MARCHÉ NOIR

L’étude de l’écumeur de carburant aide également à expliquer à quelle vitesse ces dispositifs cachés peuvent générer d’énormes profits pour les gangs organisés qui les déploient généralement. Les chercheurs ont découvert que les écumeurs de leur application ont trouvé des données collectées à partir d’environ 20 à 25 cartes de paiement chaque jour – réparties uniformément entre les cartes de débit et de crédit (bien qu’ils notent des estimations des sociétés de prévention des fraudes de paiement et des services secrets qui rapprochent le chiffre moyen de 50- 100 cartes par jour par machine compromise).

Les universitaires ont également étudié des documents judiciaires qui ont révélé que les escrocs skimmer ne peuvent souvent «encaisser» les cartes volées – soit en les vendant sur le marché noir, soit en les utilisant pour des achats frauduleux – un peu moins de la moitié du temps. Cela peut résulter du fait que les skimmers lisent parfois de manière incorrecte les données de carte, les limites de retrait quotidiennes ou les alertes de fraude à la banque émettrice.

« Sur la base des chiffres précédents, nous estimons que la fourchette de revenus quotidiens d’un skimmer est de 4 253 $ (25 cartes par jour, un retrait de 362 $ par carte et un taux de réussite de 47 % de retrait), et notre estimation haute est de 63 638 $ (100 cartes par jour et par jour, 1 354 $ de retrait par carte et un taux de réussite de retrait de 47 %) », note l’étude.

Ce n’est pas un mauvais coup de toute façon, étant donné que ces écumoires coûtent généralement environ 25 $ à produire.

Ces estimations de revenus supposent une répartition égale de l’utilisation des cartes de crédit et de débit parmi les clients d’une pompe compromise : plus les clients paient avec une carte de débit, plus l’ensemble du stratagème criminel peut devenir rentable. Armés de votre code PIN et des données de votre carte de débit, les voleurs de skimmer ou ceux qui achètent des cartes volées peuvent cloner votre carte et retirer de l’argent de votre compte à un guichet automatique.

« La disponibilité d’un code PIN avec une carte de débit volée en particulier, peut multiplier par cinq sa valeur sur le marché noir », ont écrit les chercheurs.

Cela met en évidence un avertissement que BreachTrace a relayé aux lecteurs dans de nombreuses histoires précédentes sur les attaques d’écrémage de pompe : L’utilisation d’une carte de débit à la pompe peut être beaucoup plus risquée que de payer en espèces ou par carte de crédit.

La valeur du marché noir, l’impact sur les consommateurs et les banques, et la responsabilité associée aux différents types de fraude par carte.

Et comme l’illustre le graphique ci-dessus du rapport, il existe différentes protections juridiques pour les transactions frauduleuses sur les cartes de débit par rapport aux cartes de crédit. Avec une carte de crédit, votre perte maximale sur toutes les transactions que vous signalez comme fraude est de 50 $ ; avec une carte de débit, cette protection ne s’étend que dans les deux jours suivant la transaction non autorisée. Après cela, la responsabilité maximale du consommateur peut augmenter à 500 $ dans les 60 jours et à un montant illimité après 60 jours.

En pratique, votre banque ou l’émetteur de votre carte de débit peut toujours renoncer à des responsabilités supplémentaires, et beaucoup le font. Mais même dans ce cas, le fait de vider votre compte courant de l’argent pendant que votre banque règle la situation peut toujours être un énorme problème et créer des problèmes secondaires (chèques sans provision, par exemple).

Fait intéressant, ce conseil contre l’utilisation de cartes de débit à la pompe va souvent à l’encontre des messages poussés par les propriétaires de stations-service eux-mêmes, dont beaucoup offrent des prix plus bas pour les transactions en espèces ou par carte de débit. En effet, les transactions par carte de crédit sont généralement plus coûteuses à traiter.

Malgré toutes ses prouesses en matière de brochette d’écumoire, Bluetana ne sera pas rendue publique. Les chercheurs ont déclaré que la principale raison à cela est mise en évidence dans les principales conclusions de l’étude.

« Il existe de nombreux appareils légitimes à proximité des stations-service qui ressemblent exactement aux écumeurs dans les analyses Bluetooth », a déclaré le professeur adjoint de l’UCSD. Aaron Schulman, dans un e-mail à BreachTrace. « Le signalement des appareils suspects dans Bluetana n’est qu’un moyen d’informer les inspecteurs qu’ils doivent recueillir plus de données autour de la station-service pour déterminer si les transmissions Bluetooth semblent émaner d’un appareil à l’intérieur des pompes. Si c’est le cas, ils peuvent alors ouvrir la porte de la pompe et confirmer que la force du signal augmente, et commencer leur inspection visuelle de l’écumoire.

L’un des meilleurs conseils pour éviter les écumeurs de cartes de carburant est de privilégier les stations-service dotées de fonctionnalités de sécurité mises à jour, telles que des clés personnalisées pour chaque pompe, une meilleure compartimentation des composants individuels au sein de la machine et des protections anti-effraction qui arrêtent physiquement une pompe si la machine est mal accédé.

Comment pouvez-vous repérer une station-service avec ces fonctionnalités mises à jour, demandez-vous ? Comme indiqué dans l’article de l’été dernier, Comment éviter les écumeurs de cartes à la pompe, ces nouveaux modèles de machines comportent généralement une fente d’acceptation de carte horizontale ainsi qu’un clavier métallique surélevé. En revanche, les pompes plus anciennes et moins sécurisées sont généralement équipées d’un lecteur de carte vertical et d’un clavier plat à membrane.

Les pompes à carburant plus récentes et plus inviolables comprennent des serrures à clé spécifiques à la pompe, des claviers métalliques surélevés et des lecteurs de cartes horizontaux.

Les chercheurs présenteront leurs travaux sur Bluetana plus tard dans la journée lors de la conférence USENIX Security 2019 à Santa Clara, en Californie. Une copie de leur article est disponible ici (PDF).

Si vous avez aimé cette histoire, consultez ma série sur tout ce qui concerne les écumeurs : Tout sur les écumeurs. Vous cherchez plus d’informations sur l’écrémage de la pompe à carburant ? Jetez un œil à certaines de ces histoires.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *