Un certain nombre de coopératives de crédit affirment avoir subi un niveau inhabituellement élevé de fraude par carte de débit suite à la violation de la chaîne nationale de restauration rapide Wendy’s, et que les pertes jusqu’à présent éclipsent celles qui ont suivi d’énormes violations de cartes chez Target et Home Depot.
Comme indiqué pour la première fois sur ce blog en janvier, Wendy’s enquête sur un modèle d’activité de carte inhabituelle dans certains magasins. Dans un rapport annuel préliminaire 2015, Wendy’s a confirmé que des logiciels malveillants conçus pour voler les données des cartes ont été détectés sur certains systèmes. L’entreprise dit qu’elle ne connaît pas encore l’étendue de la violation ni le nombre de clients susceptibles d’avoir été touchés.
Selon B.Dan BergerPDG de Association nationale des coopératives de crédit fédérales, de nombreuses coopératives de crédit ont vu une énorme augmentation de la fraude par carte de débit dans les quelques semaines avant que l’infraction de Wendy’s ne soit rendue publique. Il a dit qu’une grande partie de cette activité de fraude était plus tard liée à des clients qui avaient fréquenté les emplacements de Wendy moins d’un mois auparavant.
« C’est ce que nous avons entendu de la part de trois PDG de coopératives de crédit différentes dans l’Ohio maintenant : c’est plus concentré et les montants frappant les comptes de débit compromis sont beaucoup plus élevés que ceux avec lesquels ils ont été touchés après Home Depot ou Target », a déclaré Berger. « Il semble que cela ait été [the work of] un groupe sophistiqué, en termes de timing et de comptes ciblés. Ils ciblaient et drainaient des comptes de débit avec beaucoup d’argent en eux.
Berger a partagé un e-mail envoyé par le PDG d’une coopérative de crédit qui a demandé à ne pas être nommé dans cette histoire :
« S’il vous plaît, prenez cette histoire de Wendy très au sérieux. Nous avons été tués ces derniers temps avec une fraude par carte de débit. Nous avons déjà touché la moitié de notre fraude annuelle normale jusqu’à présent cette année, et nous ne sommes même pas encore fin janvier. Après avoir lu ceci, nous avons examiné l’activité de certains de nos comptes frauduleux. Les six premiers que nous avons vérifiés étaient tous allés chez Wendy’s au dernier trimestre de 2015. »
Tout ce que je veux dire, c’est que nous vivons beaucoup[er] pertes ces derniers temps que nous ne l’avons jamais fait après les problèmes de Target ou de Home Depot. Je pense que nous pourrions nous retrouver avec 5 à 10 fois plus de pertes sur cette violation, où qu’elle se soit produite. En conséquence, s’il vous plaît, placez cette histoire dans la bonne perspective.
Wendy’s a refusé de commenter cette histoire.
Même si les voleurs ne connaissent pas le code PIN attribué à une carte de débit donnée, très souvent, les banques et les coopératives de crédit permettent aux clients d’appeler et de modifier leur code PIN à l’aide de systèmes automatisés qui demandent à l’appelant de vérifier l’identité du titulaire de la carte en saisissant des identifiants statiques, comme Numéros de sécurité sociale, dates de naissance et date d’expiration de la carte.
Les voleurs peuvent abuser de ces systèmes automatisés pour réinitialiser le code PIN sur la carte de débit de la victime, puis utiliser une copie contrefaite de la carte pour retirer de l’argent du compte aux guichets automatiques. Comme je l’ai signalé en septembre 2014, c’est exactement ce qui s’est passé à la suite de la violation de Home Depot.
Berger a déclaré que les membres de la NAFCU essayaient toujours de déterminer s’ils devaient simplement réémettre des cartes pour tous les clients qui ont récemment mangé chez Wendy’s. Après tout, la chaîne de restaurants n’a pas encore dit combien de temps la brèche a duré – ni même si la brèche est encore entièrement contenue.
Cela soulève un phénomène fascinant qui se produit avec la fraude par carte liée à des détaillants ou des restaurants violés que les clients fréquentent fréquemment. J’ai récemment parlé avec un consultant en sécurité bancaire qui aidait plusieurs institutions financières à faire face aux retombées de la violation de Wendy’s. Le consultant, qui s’est exprimé sous couvert d’anonymat, a déclaré que bon nombre de ses banques clientes avaient des clients qui avaient à nouveau compromis leurs cartes plusieurs fois en un mois parce qu’ils avaient mangé dans plusieurs établissements Wendy’s différents tout au long du mois.
« Beaucoup d’entre eux traversent une période difficile car ils ont du mal à mettre en contexte la fenêtre d’exposition et parce que les clients ne cessent de se compromettre », a déclaré le consultant. « Les banques hésitent à continuer à réémettre des cartes si les cartes doivent être compromises encore et encore, car certains clients n’ont qu’à avoir leurs hamburgers chaque semaine. »
De nombreuses banques et coopératives de crédit émettent désormais des cartes de crédit et de débit à puce plus sûres (et plus coûteuses à fabriquer). Les cartes à puce – combinées aux lecteurs de cartes à puce des caisses enregistreuses des commerçants – sont conçues pour rendre beaucoup plus difficile et plus coûteux pour les voleurs de contrefaire des cartes volées. Ce n’est pas encore certain, mais il semble probable que les emplacements de Wendy’s piratés ne demandaient pas aux clients de tremper leurs cartes à puce, mais plutôt de glisser la bande magnétique de la carte.
Curieux de savoir pourquoi tant de détaillants ont des terminaux de cartes de crédit/débit à puce et demandent toujours aux clients de glisser leur doigt ? Découvrez The Great EMV Fakeout: No Chip For You! Pour savoir pourquoi tant d’institutions financières aux États-Unis adoptent la puce et la signature plutôt que la puce et le code PIN, consultez cet article.