Près d’une semaine après que ce blog ait signalé pour la première fois des signes indiquant que Dépôt à domicile était aux prises avec un incident de sécurité majeur, la société a reconnu avoir subi une violation de carte de crédit et de débit impliquant ses magasins américains et canadiens datant d’avril 2014. Home Depot n’a pas tardé à assurer aux clients et aux banques qu’aucune donnée de code PIN de carte de débit n’était compromise dans l’effraction. Néanmoins, plusieurs institutions financières contactées par cette publication font état d’une forte augmentation au cours des derniers jours des retraits frauduleux aux guichets automatiques sur les comptes clients.
Les données de carte à vendre dans le métro qui ont été volées aux acheteurs de Home Depot permettent aux voleurs de créer des copies contrefaites de cartes de débit et de crédit qui peuvent être utilisées pour acheter des marchandises dans les magasins à grande surface. Mais si les escrocs qui achètent des cartes de débit volées sont également en mesure de changer le code PIN de ces comptes, les cartes de débit fabriquées peuvent alors être utilisées pour retirer de l’argent aux guichets automatiques.
Les experts disent que les voleurs qui commettent la fraude par carte de débit capitalisent sur une surabondance d’informations de carte volées aux clients de Home Depot et vendues dans des boutiques de cybercriminalité en ligne. Ces mêmes escrocs profitent également des méthodes d’authentification faibles dans les systèmes téléphoniques automatisés que de nombreuses banques utilisent pour permettre aux clients de réinitialiser les codes PIN de leurs cartes.
Voici la partie critique : les données de carte volées aux clients de Home Depot et maintenant en vente sur la boutique du crime Rescator[dot]cc comprend à la fois les informations nécessaires à la fabrication de cartes contrefaites ainsi que le nom complet du titulaire légitime de la carte et la ville, l’état et le code postal du magasin Home Depot dans lequel la carte a été volée (probablement par un logiciel malveillant installé sur une partie du réseau du détaillant et probablement sur chaque appareil de point de vente).
Ceci est particulièrement utile pour les fraudeurs, car la plupart des transactions Home Depot sont susceptibles de se produire dans le même code postal ou à proximité que le titulaire de la carte. Les données du code postal du magasin sont importantes car elles permettent aux malfaiteurs de localiser rapidement et plus précisément le numéro de sécurité sociale et la date de naissance des titulaires de carte utilisant les services criminels clandestins qui vendent ces informations.
Pourquoi les voleurs ont-ils besoin d’informations sur la sécurité sociale et la date de naissance ? D’innombrables banques aux États-Unis permettent aux clients de changer leur NIP d’un simple appel téléphonique, en utilisant un système d’appel automatisé connu sous le nom de Unité de réponse vocale (VRU). Un grand nombre de ces systèmes VRU permettre à l’appelant de changer son code PIN à condition qu’il réussisse trois contrôles de sécurité sur cinq. La première est que le système vérifie si l’appel provient d’un numéro de téléphone enregistré pour ce client. Il demande également les quatre informations suivantes :
-le code à 3 chiffres (appelé valeur de vérification de la carte ou CVV/CV2) imprimé au dos de la carte de débit ;
-la date d’expiration de la carte ;
-la date de naissance du client ;
-les quatre derniers chiffres du numéro de sécurité sociale du client.
Jeudi, j’ai parlé avec un combattant de la fraude dans une banque de la Nouvelle-Angleterre qui a subi plus de 25 000 $ de fraude par débit avec NIP dans des guichets automatiques au Canada. L’employé de la banque a déclaré que les voleurs pouvaient changer les codes PIN des cartes à l’aide du système VRU automatisé de la banque. Lors de cette attaque, les fraudeurs appelaient à partir d’appareils jetables prépayés Valet magique numéros de téléphone, et ils n’avaient pas le Cv2 pour chaque carte. Mais ils ont pu fournir les trois autres points de données.
BreachTrace a également entendu parler d’un employé d’une banque beaucoup plus grande de la côte ouest qui a perdu plus de 300 000 $ en deux heures aujourd’hui à cause d’une fraude par code PIN sur plusieurs cartes de débit qui avaient toutes été utilisées récemment chez Home Depot. Le directeur a déclaré que les méchants avaient appelé les gens du service client de la banque et avaient fourni les quatre derniers numéros de sécurité sociale, la date de naissance et la date d’expiration de la carte de chaque titulaire de carte. Et, comme pour la banque de la Nouvelle-Angleterre, c’était assez d’informations pour que la banque réinitialise le code PIN du client.
Le responsable de la fraude a déclaré que les escrocs dans cette affaire avaient également informé les personnes du service client qu’ils voyageaient en Italie, ce qui a rendu deux choses possibles : cela a augmenté les limites de retrait sur les cartes de débit et a permis aux voleurs de retirer 300 000 $ en espèces des distributeurs automatiques de billets italiens dans l’intervalle. de moins de 120 minutes.
Une façon pour les banques de réduire l’incidence de la fraude à la réinitialisation du code PIN est d’exiger que les appelants fournissent toutes les informations demandées avec précision, et en effet l’employé de la banque dont j’ai entendu parler en Nouvelle-Angleterre a déclaré qu’une institution financière voisine qu’elle avait contactée et qui utilisait le même VRU Le système a vu sa fraude par code PIN tomber à zéro lorsqu’il a commencé à exiger que toutes les questions reçoivent une réponse correcte. La banque de la côte ouest que j’ai interrogée a également déclaré qu’elle avait déjà commencé à exiger les cinq éléments avant de traiter les changements de code PIN sur toutes les cartes utilisées chez Home Depot depuis avril.
Pourtant, certaines des plus grandes banques du monde ont commencé à s’éloigner de la soi-disant authentification basée sur la connaissance pour leurs systèmes VRU vers des technologies plus robustes, telles que la biométrie vocale et l’impression téléphonique, a déclaré Aviva Litananalyste de la fraude chez Gartner Inc.
« Nous avons vu cette même activité à la suite de la brèche chez Target, où les voleurs appelaient et utilisaient les VRU pour vérifier les soldes, supprimer les blocages sur les cartes, obtenir l’historique des paiements et bien sûr changer les codes PIN », a déclaré Litan.
Les technologies biométriques vocales créent un index des empreintes vocales à la fois pour les clients et divers fraudeurs qui effectuent des fraudes VRU, mais Litan a déclaré que les fraudeurs utiliseront souvent des synthétiseurs vocaux pour vaincre cette couche de détection.
L’impression téléphonique dresse le profil des bons et des mauvais appelants, en créant des empreintes digitales basées sur des dizaines de caractéristiques d’appel, y compris la perte de paquets, les pertes d’images, le bruit, la clarté des appels, le type de téléphone et une foule d’autres concepts beaucoup plus geek (par exemple, « quantification, » et « tagueurs« ).
ANALYSE
Le fait qu’il soit toujours possible d’utiliser le service client ou un système automatisé pour changer le code PIN de quelqu’un d’autre avec juste le numéro de sécurité sociale du titulaire de la carte, sa date de naissance et la date d’expiration de sa carte volée est remarquable et suggère que la plupart des banques restent désemparées ou volontairement aveugles. à la sophistication des services d’usurpation d’identité offerts dans le milieu de la cybercriminalité. Je connais au moins deux magasins de cybercriminalité très populaires et de longue date qui vendent ces informations pour quelques dollars chacun. L’un d’eux annonce même la vente de ces informations à plus de 300 millions d’Américains.
Les banques tardent à s’éloigner de l’authentification basée sur la connaissance. Oubliez le fait qu’il a été démontré que la plupart des principaux fournisseurs de ces services ont été compromis au cours de l’année écoulée par les mêmes escrocs qui vendent des numéros de sécurité sociale et d’autres données à des voleurs d’identité : la triste vérité est que les cybercriminels d’aujourd’hui sont plus susceptibles de connaître le bon réponses à ces questions que vous.
J’en parle principalement parce que Home Depot est, comme on pouvait s’y attendre, offrant des services de surveillance du crédit aux clients concernés (ce qui, compte tenu de la durée de cette violation, est susceptible d’affecter une partie importante de la population américaine). La fraude par carte de crédit et de débit est ennuyeuse et gênante et peut être au moins temporairement coûteuse pour les victimes, mais tant que vous surveillez de près vos relevés mensuels et signalez immédiatement tout débit non autorisé, vous ne serez pas responsable de ces frais. .
Veuillez noter que les services de surveillance du crédit ne vous aideront pas dans cette tâche, car ils ne sont pas conçus pour rechercher des fraudes sur des comptes existants liés à votre nom et à vos informations personnelles. Comme je l’ai noté dans plusieurs articles, les services de surveillance du crédit ont une valeur douteuse car bien qu’ils puissent vous alerter lorsque des voleurs ouvrent de nouvelles lignes de crédit en votre nom, ces services n’empêchent pas cette activité. La seule chose que ces services sont bons pour est d’aider les victimes de vol d’identité à nettoyer le gâchis et à réparer leur bonne réputation.
Cependant, étant donné que votre numéro de sécurité sociale, votre date de naissance et toutes les réponses possibles à toutes ces questions d’authentification basées sur les connaissances peuvent être obtenues pour 25 $ afin d’établir de nouvelles lignes de crédit à votre nom, il est logique pour les gens de se prévaloir de services gratuits de surveillance du crédit. Mais il y a peu de raisons de payer pour ces services. Si vous ne disposez pas déjà d’un service de surveillance du crédit gratuit, vous n’avez peut-être pas prêté suffisamment attention à la des dizaines d’entreprises au cours de l’année écoulée qui ont probablement perdu vos données lors d’une violation et qui offrent déjà ces services gratuitement.
Pour plus d’informations sur les avantages et les limites des services de surveillance du crédit – ainsi que d’autres conseils utiles pour protéger de manière proactive votre dossier de crédit – consultez cette histoire.
Plus d’informations, y compris une FAQ sur la violation, publiée par Home Depot, sont disponibles sur ce lien.