Dans les deux histoires précédentes, j’ai documenté les dommages causés par un gang du crime organisé au Mexique qui a systématiquement soudoyé des techniciens de guichets automatiques pour installer des composants d’écrémage Bluetooth permettant aux voleurs de voler des données de carte et de code PIN sans fil. Ce qui suit est un aperçu d’une mystérieuse nouvelle société de guichets automatiques au Mexique qui, selon des sources, pourrait être liée à l’activité d’écrémage.
Une société de guichets automatiques opérant dans la région de Cancún dont les distributeurs étaient apparemment exempts de ces dispositifs d’écrémage est une entité relativement nouvelle appelée Intacash. Les guichets automatiques de cette société couvraient positivement bon nombre des zones que j’ai visitées, en particulier dans les zones touristiques et commerciales du centre-ville de Cancun et de Playa Del Carmen. Par exemple, dans un seul pâté de maisons sur le boulevard Kukulcan dans la Zona Hotelera – probablement le lieu touristique le plus fréquenté de Cancún – j’ai compté pas moins de dix guichets automatiques Intacash, dont la plupart étaient tous à moins de quelques centaines de mètres les uns des autres.
Les guichets automatiques Intacash couvrent positivement la zone la plus animée du centre-ville de Cancún et sont très proches les uns des autres.
Les experts avec qui j’ai parlé ont dit qu’ils étaient mystifiés par la stratégie d’Intacash consistant à placer autant de distributeurs automatiques de billets dans la région. Même pour des zones comme la Zona Hotelera avec beaucoup de trafic piétonnier continu, l’ajout d’autant de distributeurs automatiques de billets dans un si petit espace produit des rendements décroissants.
Deux experts en guichets automatiques connaissant les tarifs facturés pour placer des guichets automatiques dans la région et qui ont demandé à rester anonymes ont déclaré qu’il n’y avait aucun moyen pour Intacash de payer le loyer nécessaire pour placer autant de guichets automatiques à proximité sur une propriété publique tout en réalisant un bénéfice mensuel. Pas question, c’est-à-dire, à moins que l’entreprise n’ait à l’esprit un objectif de profit différent.
Intacash est un nouveau venu sur la scène des guichets automatiques au Mexique, y mettant ses premiers guichets automatiques en ligne il y a un peu plus d’un an. On ne sait pas du tout qui dirige ou possède Intacash, et il y a très peu d’informations publiques disponibles sur cette société.
Intacash.comimmatriculé début 2014, se compose uniquement quatre pages Web. Il n’y a pas d’informations de contact pour l’entreprise sur son site, qui à ce jour n’a exactement aucun site lié à celui-ci. Depuis sa création, les enregistrements d’enregistrement du site ont été cachés derrière les services de protection de la vie privée WHOIS. Intacash héberge ses sites avec plus de 6 000 autres sites sur un serveur partagé sur GoDaddy.com (pour des raisons de sécurité et autres, les institutions financières et les fournisseurs de services utilisent généralement leurs propres serveurs dédiés).
Malgré la présence de près de 70 guichets automatiques Intacash à Cancun, Playa Del Carmen, Tulum et d’autres zones touristiques de la péninsule du Yucatan, cette société semble avoir fait tout son possible pour ne pas se faire remarquer en ligne. De plus, un examen du texte sur Intacash.com suggère qu’une grande partie du contenu Web du site a été copiée textuellement à partir d’autres sites qui ont précédé l’existence d’Intacash sur Internet.
Plusieurs courriels envoyés aux adresses de contact et aux formulaires sur le site Web d’Intacash n’ont pas été retournés. La banque sponsor d’Intacash au Mexique – Multiva – n’a pas non plus répondu aux messages sollicitant des commentaires.
LA CONNEXION INTACASH
Pourquoi avais-je tant envie d’en savoir plus sur Intacash ? Ma source dans l’industrie des guichets automatiques qui m’a informé de l’activité d’écrémage Bluetooth présentée dans les deux premières histoires ici a déclaré que ses techniciens avaient commencé à recevoir des pots-de-vin pour permettre à des étrangers d’installer des composants d’écrémage à l’intérieur de leurs machines à peu près au même moment où Intacash était en ligne au Mexique. Au début de cette année, tous des techniciens de guichets automatiques de ma source avaient déclaré avoir été approchés par l’un des deux gars qui essayaient d’acheter l’accès aux guichets automatiques. Les employés qui ont signalé ces incidents à ma source de l’industrie des guichets automatiques ont déclaré que les hommes avaient des accents d’Europe de l’Est.
La page d’accueil d’intacash.com
Plusieurs employés de ma source ont ensuite identifié les hommes qui les ont approchés après avoir réussi à localiser leurs pages de profil sur WhatsAppun service de messagerie mobile populaire.
« Mon partenaire était en réunion avec le directeur d’exploitation de [a major hotel] à Cancun, faisant son argumentaire de vente », se souvient ma source dans une récente interview. « Et le gars de l’hôtel a dit à mon gars que la veille, il avait été approché par une autre société de guichets automatiques et que les gars étaient d’Europe de l’Est. »
Ma source a déclaré que, lorsqu’il a été pressé, le directeur de l’hôtel a reconnu que l’autre société était bien Intacash. Ma source a déclaré que son partenaire commercial avait mis en signet sur son smartphone les profils Whatsapp des hommes qui avaient tenté de soudoyer ses techniciens, et qu’il avait ouvert les profils un par un et les avait montrés au directeur de l’hôtel.
« Mon partenaire a demandé : ‘Juste par curiosité, était-ce un de ces types ?' », a déclaré ma source. « Le directeur de l’hôtel a dit pourquoi, oui c’était le cas. »
ANALYSE
Intacash peut en fait être totalement honnête. Mais au-delà des bizarreries circonstancielles mentionnées ci-dessus, il existe d’autres indices qui suggéreraient que quelque chose ne va pas chez Intacash.
Par exemple, lors de mes pérégrinations autour de Cancún et ailleurs dans la région, j’ai utilisé une carte de débit à faible solde pour vérifier plusieurs guichets automatiques Intacash, chacun offrant aux clients la possibilité de retirer des pesos mexicains ou des dollars américains. Curieusement, chaque fois que j’ai utilisé une de ces machines pour effectuer de petits retraits en Peso, j’ai reçu un reçu papier. Chaque fois que j’ai retiré des dollars, je n’ai reçu aucun reçu (ce comportement était le même sur plusieurs machines Intacash).
Dans environ un tiers des cas, après avoir entré mon code PIN, les transactions ont été annulées sans explication (aucun reçu n’a été émis pour ces transactions non plus). Quand je suis rentré chez moi et que j’ai commencé à faire des recherches, il s’est avéré Je n’étais pas le seul à avoir remarqué ce modèle.
Encore plus curieux, les guichets automatiques Intacash facturent près de deux fois plus que pratiquement n’importe quelle autre société de guichets automatiques de la région pour retirer des fonds – souvent 10 à 15 % de la valeur du retrait. J’imagine qu’un grand pourcentage de consommateurs qui mettent leurs cartes et leurs codes PIN dans un guichet automatique Intacash annuleraient la transaction et chercheraient une autre machine après avoir constaté que retirer 100 $ leur coûterait 15 $.
J’ai commencé à me demander s’il était possible qu’Intacash soit une entreprise essentiellement créée pour capturer les données des cartes et des codes PIN ? Les fausses sociétés de guichets automatiques ne sont certainement pas inconnues, même aux États-Unis. En 1993, des agents fédéraux américains ont arrêté deux hommes dans le Connecticut soupçonné d’avoir volé plus de 100 000 $ en plaçant de faux guichets automatiques. Dans le cas du Connecticut, les fraudeurs ont simplement placé de faux guichets automatiques dépourvus d’argent liquide. Cela peut sembler un stratagème astucieux, mais le manque d’argent dans ces machines est ce qui a rapidement averti les enquêteurs que quelque chose n’allait pas avec les distributeurs automatiques de billets.
Eh bien, attendez un instant, vous dites : la vente ou l’exploitation de cartes de débit/de guichet automatique toutes volées dans les guichets automatiques d’une société de guichets automatiques n’attirerait-elle pas rapidement l’attention indésirable des banques, Visa et MasterCard sur cette société ? Vous pariez : toute personne responsable d’une telle opération de fraude voudrait propager son escroquerie de clonage de carte sur autant de guichets automatiques que possible : plus il y a de guichets automatiques et plus il y a de sociétés de guichets automatiques impliquées, plus il est difficile de retracer la source des transactions frauduleuses. Et ici, nous arrivons à la boucle des distributeurs automatiques de billets à Cancun et dans les environs qui ont été compromis avec des écumoires Bluetooth internes.
De plus, l’absence de reçus et la propension des guichets automatiques à « annuler » au hasard les transactions après que les utilisateurs ont inséré leurs cartes et entré leurs codes PIN permettraient à une grande opération de clonage de cartes de cacher plus facilement une grande partie de leur activité. Par exemple, si la transaction est annulée avant qu’elle n’atteigne le commutateur de traitement de la banque du client, il n’y aurait absolument aucune trace du client utilisant le guichet automatique, malgré la compromission des données de la carte et du code PIN.
Combien une opération de faux guichets automatiques avec 70 guichets automatiques pourrait-elle rapporter chaque mois ? Diverses sociétés de guichets automatiques avec lesquelles j’ai parlé au cours du processus de rapport et d’écriture de cette histoire ont déclaré – selon l’emplacement – qu’une machine typique peut avoir besoin de 300 à 500 clients par mois pour devenir rentable.
Si nous prenons l’extrémité inférieure de cela et supposons que certains clients (disons 30 % à des fins d’arrondi) seront des clients réguliers utilisant la même carte et le même code PIN, cela représente au moins 200 cartes par mois et par machine. Même si le compte courant moyen lié à chaque carte de guichet automatique ne contenait que 100 dollars, cela représente 20 000 dollars par machine et par mois, ou – encore une fois, de manière très prudente – environ 1,5 million de dollars sur les 70 machines par mois.
LE RÔLE CLÉ DES TECHNICIENS GAB
Plusieurs lecteurs ont demandé pourquoi les experts sont si certains que les installateurs de la société ATM – et non des escrocs au hasard – ont dû être responsables de l’installation de la carte Bluetooth et des écumeurs de clavier PIN dans les appareils compromis que j’ai trouvés au Mexique. L’explication est liée au fait que les guichets automatiques modernes sont conçus pour protéger la sécurité et la confidentialité du code PIN de l’utilisateur une fois qu’il est entré dans le système, et plus important encore pour protéger l’intégrité du clavier PIN lui-même.
L’un des claviers NIP Bluetooth extraits d’un guichet automatique compromis au Mexique. Les deux composants de gauche sont des parties légitimes de la machine. Le faux clavier PIN conçu pour être glissé sous le clavier PIN légitime de la machine est le morceau orange, en haut à droite. Les puces Bluetooth et de stockage de données sont au milieu. L’antenne de la carte Bluetooth est visible sur le côté droit de la photo.
Si un voleur au hasard devait s’introduire dans un guichet automatique et y attacher des appareils électroniques capables d’intercepter les codes PIN saisis par les clients, le guichet cesserait tout simplement de fonctionner correctement par la suite. Lorsque les fabricants de guichets automatiques ou les banques souhaitent mettre à jour le logiciel ou le matériel de leurs machines, ils doivent ensuite saisir une clé cryptographique spéciale. Cette clé – connue sous le nom de « clé principale du terminal », est bonne pour cette machine et uniquement pour cette machine – et elle provient directement du fabricant ou de la banque.
Certaines banques et sociétés de guichets automatiques vont plus loin, exigeant que toutes ces modifications soient approuvées par deux personnes autorisées. Cette approche de double authentification – l’utilisation de deux clés, chacune attribuée à un personnel différent qui doit approuver les modifications physiques et logicielles apportées au guichet automatique – est conçue pour court-circuiter toute tentative d’installateurs de guichets automatiques malveillants de faire ce qui a apparemment été fait dans de nombreux guichets automatiques mexicains. . Et il est probable que les guichets automatiques victimes documentés dans cette série ne suivaient pas cette meilleure pratique.
De plus, certains lecteurs ont demandé s’il y avait quelque chose en particulier au Mexique qui rendait les guichets automatiques là-bas plus susceptibles d’être victimes de fraudeurs sophistiqués qui se fraient un chemin dans les distributeurs automatiques de billets. Je pense que la réponse est oui et non. D’une part, les risques de faire cela aux États-Unis sont beaucoup plus élevés. Il semble probable que toute personne reconnue coupable d’avoir piraté des distributeurs automatiques de billets de cette manière aux États-Unis ferait face à des accusations de fraude fédérales et à de lourdes peines de prison ici si elle est reconnue coupable.
Au Mexique, il semble peu probable qu’une telle personne soit jamais poursuivie, et encore moins emprisonnée pour une durée quelconque. Les experts en sécurité avec lesquels j’ai parlé au Mexique ont déclaré qu’il était extrêmement facile d’éviter les poursuites ou la prison au Mexique si l’on disposait de la bonne somme d’argent, et certainement une entreprise en charge d’une entreprise d’écrémage ou d’un faux empire de guichets automatiques aurait en effet beaucoup de ça.
Mais en pratique, ce schéma pourrait se produire n’importe où aux États-Unis, et je m’attendrais à ce qu’il migre bientôt au nord de la frontière (si ce n’est déjà fait). Il existe sans aucun doute de nombreux guichets automatiques qui permettent l’échange de matériel sans que deux personnes doivent signer le changement, et les gens ici sont évidemment susceptibles de recevoir des pots-de-vin. Il convient également de noter que les techniciens ici et à l’étranger peuvent être contraints de coopérer avec des voleurs par des moyens non financiers, tels que l’extorsion ou des menaces à leur sécurité personnelle et/ou celle de leur famille.
Enfin, de nombreux lecteurs ont demandé si l’un des guichets automatiques écrémés que j’ai trouvés au Mexique était des guichets automatiques détenus et exploités par une banque, ou des machines dans les locaux des propriétés bancaires. Aucun d’entre eux n’était : tous étaient des distributeurs automatiques de billets indépendants détenus et exploités par des sociétés privées.
Si vous ne les avez pas déjà vus, veuillez consulter les deux premières histoires de cette série :
Suivi d’un gang d’écumeurs Bluetooth au Mexique
Suivi des écumeurs Bluetooth au Mexique, partie II