Une grande partie de la fraude impliquant des crédits contrefaits, des cartes de débit ATM et des cartes-cadeaux au détail repose sur la capacité des voleurs à utiliser du matériel bon marché et largement disponible pour coder les données volées sur la bande magnétique de n’importe quelle carte. Mais de nouvelles recherches suggèrent que les détaillants et les opérateurs de guichets automatiques pourraient détecter de manière fiable les cartes contrefaites à l’aide d’une technologie simple qui signale les cartes qui semblent avoir été modifiées par de tels outils.
Une carte-cadeau achetée au détail avec un NIP non masqué caché derrière une pochette en papier. De tels codes PIN peuvent être facilement copiés par un adversaire, qui attend que la carte soit achetée pour voler les fonds de la carte. Image : Université de Floride.
Des chercheurs au Université de Floride ont constaté que les données de compte encodées sur des cartes légitimes sont invariablement écrites à l’aide d’installations automatisées à qualité contrôlée qui ont tendance à imprimer les informations selon des modèles uniformes et cohérents.
Les cartes clonées, cependant, sont généralement créées à la main avec des machines d’encodage peu coûteuses et, par conséquent, présentent beaucoup plus de variance ou de « gigue » dans le placement des bits numériques sur la bande de la carte.
Les cartes-cadeaux peuvent être extrêmement rentables et renforcer la marque des détaillants, mais la fraude par carte-cadeau crée une expérience d’achat très négative pour les consommateurs et une énigme coûteuse pour les détaillants. Le FBI estime que si la fraude par carte-cadeau ne représente qu’un faible pourcentage des ventes et de l’utilisation globales des cartes-cadeaux, environ 130 milliards de dollars de cartes-cadeaux sont vendus chaque année.
L’une des formes les plus courantes de fraude par carte-cadeau implique que des voleurs falsifient les cartes à l’intérieur du magasin du détaillant, avant que les cartes ne soient achetées par des clients légitimes. À l’aide d’un lecteur de carte portable, les escrocs glisseront la bande pour enregistrer le numéro de série de la carte et d’autres données nécessaires pour dupliquer la carte.
S’il y a un NIP sur l’emballage de la carte-cadeau, les voleurs l’enregistrent également. Dans de nombreux cas, le code PIN est masqué par un autocollant à gratter, mais les voleurs de cartes-cadeaux peuvent facilement les gratter, puis remplacer le matériau par des autocollants identiques ou similaires qui sont vendus à très bas prix au rouleau en ligne.
« Ils peuvent en acheter de gros rouleaux en ligne pour presque rien », a déclaré Patrick Traynor, professeur agrégé d’informatique à l’Université de Floride. « Les détaillants avec lesquels nous avons travaillé nous ont dit qu’ils étaient allés dans leurs racks de cartes-cadeaux et avaient trouvé des tonnes de ces trucs à gratter sur le sol près des racks. »
À ce stade, les cartes sont toujours sans valeur car elles n’ont pas encore été activées. Mais armés du numéro de série et du code PIN de la carte, les voleurs peuvent simplement surveiller le compte de la carte-cadeau sur le portail en ligne du détaillant et attendre que les cartes soient payées et activées à la caisse enregistreuse par un acheteur involontaire.
Une fois qu’une carte est activée, les voleurs peuvent encoder les données de cette carte sur n’importe quelle carte à bande magnétique et utiliser cette contrefaçon pour acheter des marchandises chez le détaillant. Les biens volés sont ensuite vendus en ligne ou dans la rue. Pendant ce temps, la personne qui a acheté la carte (ou la personne qui l’a reçue en cadeau) constate que la carte est vidée de ses fonds lorsqu’elle finit par l’utiliser dans un magasin de détail.
Les deux premières cartes-cadeaux montrent des signes que quelqu’un a précédemment décollé l’autocollant de protection couvrant le code de remboursement. Image : Flint Gatrell.
Traynor et une équipe de cinq autres chercheurs de l’Université de Floride se sont associés au géant de la vente au détail Walmart pour tester leur technologie, qui, selon Traynor, peut être intégrée facilement et à peu de frais dans les systèmes de point de vente des caisses enregistreuses des magasins de détail. Ils ont déclaré que l’essai WalMart avait démontré que la technologie des chercheurs distinguait les cartes-cadeaux légitimes des clones avec une précision allant jusqu’à 99,3 %.
Bien qu’impressionnant, ce taux signifie toujours que la technologie pourrait encore générer un « faux positif » – signaler à tort un client légitime comme utilisant une carte-cadeau obtenue frauduleusement dans un nombre non négligeable de cas. Mais Traynor a déclaré que les détaillants avec lesquels ils avaient discuté pour tester leur équipement avaient tous indiqué qu’ils accueilleraient favorablement tout outil supplémentaire pour réduire l’incidence de la fraude par carte-cadeau.
« Nous avons parlé avec un certain nombre de personnes chargées de la prévention des pertes dans le commerce de détail », a-t-il déclaré. « La plupart ont dit que même s’ils pouvaient simplement signaler la transaction et noter la personne [presenting the cloned card] que ce serait une victoire pour eux. Souvent, avertir quelqu’un que la prévention des pertes surveille suffit à le faire arrêter – du moins dans ce magasin. D’après nos discussions avec quelques détaillants à grande surface, ce type de fraude est probablement leur plus récente grande préoccupation, bien qu’ils n’en parlent pas beaucoup publiquement. Si l’attaquant fait mieux que de simplement cloner la carte sur une carte blanche vierge, il est pratiquement impuissant à arrêter l’attaque, et c’est une histoire assez cohérente à huis clos.
AU-DELÀ DES CARTES CADEAUX
Traynor a déclaré que la méthode de l’équipe de l’Université de Floride fonctionne encore plus précisément pour détecter les cartes de crédit et les guichets automatiques contrefaits, grâce à la différence spectaculaire de gigue entre les cartes émises par les banques et celles clonées par des voleurs.
Le matériau magnétique de la plupart des cartes-cadeaux présente une qualité connue dans l’industrie sous le nom de « faible coercivité ». La bande sur les cartes dites « LoCo » est généralement de couleur brune, et de nouvelles données peuvent y être imprimées à peu de frais en utilisant une machine qui émet un champ magnétique relativement faible ou faible. Les clés des chambres d’hôtel reposent également sur les bandes LoCo, c’est pourquoi elles ont tendance à perdre si facilement leur charge (en particulier lorsqu’elles sont placées à côté d’autre chose avec une charge magnétique).
En revanche, les bandes à «haute coercivité» (HiCo) comme celles que l’on trouve sur les cartes de débit et de crédit émises par les banques sont généralement de couleur noire, conservent leur charge beaucoup plus longtemps et sont beaucoup plus durables que les cartes LoCo. L’inconvénient des cartes HiCo est qu’elles sont plus chères à produire, s’appuyant souvent sur des machines complexes et des processus de fabrication sophistiqués qui encodent les données du compte selon des modèles très uniformes.
Ces graphiques illustrent la différence entre les cartes originales et clonées. Source : Université de Floride.
Traynor a déclaré que les tests indiquent que leur technologie peut détecter les cartes bancaires clonées avec pratiquement aucun faux positif. En fait, lorsque l’équipe de l’Université de Floride a commencé à voir les résultats positifs de sa méthode, elle a initialement présenté la technique comme un moyen pour les banques de réduire les pertes dues à l’écrémage des guichets automatiques et à d’autres formes de fraude par carte de crédit et de débit.
Pourtant, Traynor a déclaré que d’autres universitaires qui ont examiné leur projet de document leur ont dit que les banques n’investiraient probablement pas dans la technologie, car la plupart des institutions financières comptent sur des puces plus récentes et plus sophistiquées (EMV) cartes afin de réduire à terme les pertes dues à la contrefaçon.
« Le pitch original de l’article était en fait axé sur les cartes de crédit, mais les examinateurs universitaires avaient du mal à dépasser EMV – comme dans « EMV résout ce problème et il est universellement déployé – alors pourquoi est-ce nécessaire? », A déclaré Traynor. « Nous avons continué à recevoir des critiques d’autres universitaires disant que la fraude par carte de crédit et bancaire est un problème résolu. »
Le problème est que pratiquement toutes les cartes à puce stockent encore les données de compte en texte clair sur la bande magnétique au dos de la carte, principalement pour que les cartes puissent être utilisées dans les guichets automatiques et les points de vente qui ne sont pas encore équipés pour lire les cartes à puce. . En conséquence, même les pays européens dont les guichets automatiques nécessitent tous des cartes à puce restent fortement ciblés par les gangs d’écrémage, car les données sur la bande magnétique de la carte à puce peuvent toujours être copiées par un écumeur et utilisées par des voleurs aux États-Unis.
Les chercheurs de l’Université de Floride ont récemment été présentés dans une histoire de l’Associated Press à propos d’une technologie anti-écrémage qu’ils ont développée et baptisée « Skim Reaper ». L’appareil, qui peut être fabriqué à moindre coût à l’aide d’une imprimante 3D, s’insère dans l’embouchure de la fente d’acceptation des cartes du guichet automatique et peut détecter la présence d’appareils de lecture de cartes supplémentaires que les voleurs de skimmer peuvent avoir installés sur ou à l’intérieur du distributeur automatique de billets.
L’histoire de l’AP citait un détective des crimes financiers du département de police de New York disant que les Skim Reapers fonctionnaient remarquablement bien pour détecter la présence d’écumeurs de guichets automatiques. Mais Traynor a déclaré que de nombreux exploitants et propriétaires de guichets automatiques ne sont tout simplement pas intéressés à payer pour mettre à niveau leurs machines avec leur technologie, en grande partie parce que les pertes dues à la contrefaçon de cartes de guichet automatique sont principalement assumées par les consommateurs et les institutions financières.
« Nous avons découvert cela lorsque nous parlions avec les flics à New York, que l’incitation d’un propriétaire de bodega ATM à mettre à niveau un guichet automatique est très faible », a déclaré Traynor. « Pourquoi devraient-ils faire cette dépense ? Mises à niveau nécessaires pour fabriquer ces machines [chip-card compliant] coûtent cher, et la motivation n’est pas forcément là.
Les détaillants pourraient également choisir de produire des cartes-cadeaux avec des puces EMV intégrées qui rendent les cartes plus chères et difficiles à contrefaire. Mais cela augmenterait probablement le coût de fabrication de 2 à 3 dollars par carte, a déclaré Traynor.
« Mettre une puce sur la carte augmente considérablement le coût, donc une carte-cadeau de 10 $ pourrait alors avoir un prix de 3 $ ajouté », a-t-il déclaré. « Et vous pouvez imaginer la réaction qu’un client pourrait avoir lorsqu’on lui demande de payer 13 $ pour une carte-cadeau d’une valeur nominale de 10 $. »
Une copie du document de recherche de l’Université de Floride est disponible ici (PDF).
Le FBI a compilé une liste de recommandations pour réduire la probabilité d’être victime de fraude par carte-cadeau. Pour commencer, lorsque vous achetez en magasin, ne vous contentez pas de choisir des cartes directement dans le rack. Recherchez ceux qui sont scellés dans un emballage ou stockés en toute sécurité derrière le comptoir de caisse. Vérifiez également la zone à gratter à l’arrière pour rechercher toute preuve d’altération.
Voici quelques autres conseils du FBI :
-Si possible, n’achetez que des cartes en ligne directement du magasin ou du restaurant.
-Si vous achetez sur un site Web secondaire du marché des cartes-cadeaux, vérifiez les avis et n’achetez ou ne vendez qu’à des revendeurs réputés.
-Vérifiez le solde de la carte-cadeau avant et après l’achat de la carte pour vérifier le solde correct sur la carte.
-Le revendeur d’une carte-cadeau est responsable de s’assurer que le solde est correct sur la carte-cadeau, et non le commerçant dont le nom est indiqué. Si vous êtes victime d’une arnaque, certains commerçants, dans certaines situations, remplaceront les fonds. Demandez de l’aide, mais ne vous y attendez pas.
-Lorsque vous vendez une carte-cadeau sur un marché en ligne, ne fournissez pas le code PIN de la carte à l’acheteur tant que la transaction n’est pas terminée.
-Lorsque vous achetez des cartes-cadeaux en ligne, méfiez-vous des sites d’enchères qui vendent des cartes-cadeaux à prix réduit ou en gros.