En décembre 2015, BreachTrace a averti que des experts en sécurité avaient découvert des dispositifs d’écrémage attachés aux terminaux de cartes de crédit et de débit aux caisses automatiques à Safeway magasins dans le Colorado et peut-être dans d’autres États. Safeway n’a pas révélé à quoi ressemblaient ces écrémeurs, mais les images d’une récente attaque d’écrémage qui aurait été lancée contre des acheteurs en libre-service dans un Safeway du Maryland offrent un aperçu plus approfondi d’un tel appareil.
Un dispositif d’écrémage conçu pour les voies de paiement en libre-service qui a été retiré d’un magasin Safeway à Germantown, Maryland
L’image ci-dessus montre une écumoire « superposée » simple mais efficace qui, selon des sources du secteur bancaire, a été récupérée dans un magasin Safeway à Germantown, dans le Maryland. L’appareil est conçu pour s’adapter directement au-dessus du Verifone terminaux utilisés chez de nombreux Safeways et autres détaillants. Il dispose d’un clavier NIP superposé pour capturer le code PIN de l’utilisateur et d’un mécanisme d’enregistrement des données stockées sur la bande magnétique d’une carte lorsque les clients glissent leur carte dans les allées de paiement en libre-service.
Les responsables de Safeway n’ont pas répondu aux demandes répétées de commentaires sur cet incident.
Mon Safeway local en Virginie du Nord utilise ce modèle exact de terminaux Verifone, et après avoir vu cette image pour la première fois, je n’ai pas pu m’empêcher de tirer sur le terminal en face de moi dans la file d’attente lors d’une récente visite en magasin, juste pour être Bien sur.
De nombreuses banques émettent désormais des cartes de crédit et de débit à puce plus récentes et plus sécurisées qui sont plus chères et difficiles à voler et à contrefaire pour les voleurs. Tant que les détaillants continueront à permettre aux clients d’éviter de « tremper la puce » et d’autoriser à la place « glisser la bande », ces attaques d’écrémage sur les voies de paiement en libre-service continueront de proliférer dans le secteur de la vente au détail.
Il peut être intéressant de noter que cet appareil d’écrémage ressemble remarquablement à un écumeur de point de vente conçu pour les terminaux Verifone dont j’ai parlé en 2013.
Voici une vidéo explicative simple réalisée par un fraudeur qui vend des écumeurs de superposition très similaires pour les appareils de point de vente Verifone ; il les appelle les « préservatifs Verifone ». Comme nous pouvons le voir, l’appareil pourrait être attaché en un clin d’œil (et retiré rapidement également). L’appareil dans la vidéo n’est qu’une coque et n’inclut pas le lecteur de clavier NIP POS ou le lecteur de carte.