Un lecteur de longue date a récemment demandé : « Comment les fraudeurs en ligne obtiennent-ils le numéro à 3 chiffres ? valeur de vérification de la carte (CVV ou CVV2) imprimé au dos des cartes clients s’il est interdit aux commerçants de conserver ces informations ? La réponse : Si ce n’est pas par hameçonnage, probablement en installant un enregistreur de frappe basé sur le Web chez un marchand en ligne afin que toutes les données que les clients soumettent au site soient copiées et envoyées au serveur de l’attaquant.
Kenneth Labelle, directeur régional chez assureur Burns-Wilcox.coma écrit:
« Donc, j’essaie de comprendre comment les transactions sans carte sont possibles après une violation due au CVV. Si les informations de la carte ont été volées via le système de point de vente, le pirate ne devrait pas avoir accès au CVV car il ne se trouve pas sur la bande magnétique. Alors, comment diable commettent-ils une fraude par carte sans présentation alors qu’ils n’ont pas le numéro CVV ? Je ne comprends pas comment cela est possible avec le code CVV utilisé dans les transactions en ligne. »
Tout d’abord, les « dumps » – ou les comptes de cartes de crédit et de débit qui sont volés dans des systèmes de point de vente piratés via des écumeurs ou des logiciels malveillants sur les systèmes de caisse enregistreuse – se vendent environ 20 $ chacun en moyenne dans le cybercrime clandestin. Chaque décharge peut être utilisée pour fabriquer un nouveau clone physique de la carte d’origine, et les voleurs utilisent généralement ces contrefaçons pour acheter des marchandises auprès de détaillants à grande surface qu’ils peuvent facilement revendre, ou pour extraire de l’argent aux guichets automatiques.
Cependant, lorsque les cyber-escrocs souhaitent frauder les magasins en ligne, ils n’utilisent pas de dumps. C’est principalement parce que les marchands en ligne exigent généralement le CVV, les vendeurs de décharges criminelles ne regroupent pas les CVV avec leurs décharges.
Au lieu de cela, les fraudeurs en ligne se tournent vers les « boutiques CVV », des magasins de cybercriminalité obscurs qui vendent des paquets de données de titulaire de carte, y compris le nom du client, le numéro complet de la carte, l’expiration, le CVV2 et le code postal. Ces bundles CVV sont beaucoup moins chers que les décharges – généralement entre 2 $ et 5 $ chacun – en partie parce qu’ils ne sont utiles que pour les transactions en ligne, mais probablement aussi parce qu’ils sont globalement plus compliqués à « encaisser » ou à en tirer de l’argent.
La grande majorité du temps, ces données CVV ont été volées par des enregistreurs de frappe basés sur le Web. Il s’agit d’un programme relativement simple qui se comporte un peu comme un cheval de Troie bancaire sur un PC infecté, sauf qu’il est conçu pour voler des données à partir d’applications de serveur Web.
Les chevaux de Troie PC tels que ZeuS, par exemple, siphonnent les informations à l’aide de deux techniques majeures : piéger les mots de passe stockés dans le navigateur et procéder à la « saisie de formulaires » – capturant toutes les données saisies dans un champ de formulaire dans le navigateur avant qu’elles ne puissent être chiffrées dans la session Web et envoyé vers le site visité par la victime.
Les enregistreurs de frappe basés sur le Web peuvent également saisir des formulaires, extraire les données de formulaire soumises par les visiteurs – y compris les noms, adresses, numéros de téléphone, numéros de carte de crédit et code de vérification de carte – lorsque les clients soumettent les données pendant le processus de paiement en ligne.
Ces attaques mettent en évidence un point immuable sur le rôle des logiciels malveillants dans la subversion des connexions sécurisées : qu’ils résident sur un serveur Web ou sur l’ordinateur d’un utilisateur final, si l’un ou l’autre des terminaux est compromis, la sécurité de cette session Web est terminée. Avec les chevaux de Troie bancaires sur PC, il s’agit de surveiller le côté client avant le chiffrement, alors que ce que font les malfaiteurs avec ces attaques de sites Web consiste à aspirer les données des clients après ou avant le chiffrement (selon que les données étaient entrantes ou sortantes ).
Si vous êtes responsable de la maintenance ou de la sécurisation des sites Web, il peut être judicieux de vous impliquer dans un ou plusieurs groupes locaux qui cherchent à aider les administrateurs. Les professionnels et semi-professionnels sont les bienvenus aux réunions des chapitres locaux de OWASP, CitySec, AISS ou Côtés de sécurité rencontres.