Aujourd’hui, les fils de presse bourdonnent d’histoires sur une autre violation potentiellement majeure de carte de crédit/débit dans une autre chaîne de magasins : cette fois, la victime apparente est Acquisition ABqui opère Albertson magasins sous plusieurs marques, y compris Marchés ACME, Bijou-Osco, Shaw’s et Marchés étoilés. Le message d’aujourd’hui ne contient aucun aperçu particulier de cette violation particulière de la vente au détail, mais cherche plutôt à offrir des réponses à certaines questions courantes concernant les raisons pour lesquelles nous continuons à en entendre parler.
Pourquoi entendons-nous sans cesse parler d’infractions impliquant des magasins physiques ?
Les cartes de crédit et de débit volées dans des magasins physiques (appelés «dépotoirs») se vendent généralement au moins dix fois le prix des cartes volées à des marchands en ligne (appelées dans le métro «CVV» ou simplement «cartes de crédit») . En conséquence, les décharges sont très prisées par les cyber-escrocs d’aujourd’hui, et il existe des dizaines de « magasins de cartes » souterrains en ligne qui se feront un plaisir d’acheter les cartes aux pirates et de les revendre sur le marché libre. Pour un examen plus approfondi du fonctionnement de ces magasins (et comment, par exemple, les personnes responsables de ces cambriolages dans les magasins de détail gèrent très souvent les magasins de cartes eux-mêmes), voir Peek Inside a Carding Shop.
D’accord, je vais mordre : Pourquoi les décharges sont-elles tellement plus chères et précieuses pour les attaquants ?
Une grande partie de la différence de prix est liée au nombre d’étapes nécessaires pour que les personnes qui achètent ces cartes volées (alias « cardeurs ») « encaissent » ou tirent profit des cartes volées. Par exemple, lequel de ces processus est susceptible d’être le plus efficace, le plus simple et le plus lucratif pour le méchant ?
1. Armé d’une pile de décharges, un cardeur entre dans un magasin à grande surface et en ressort avec des appareils électroniques ou des cartes-cadeaux à prix élevé qu’il peut facilement transformer en espèces.
2. Armé d’une liste de CVV, un cardeur recherche en ligne les magasins qui livreront à une adresse différente de celle indiquée sur la carte. En supposant que la transaction est approuvée, il fait expédier les marchandises à un type qu’il connaît à une autre adresse qui prendra une part de l’action. Autrement dit, *si* les marchandises achetées frauduleusement ne sont pas arrêtées ou interceptées en cours de route par le commerçant ou la compagnie maritime lorsque quelqu’un se plaint d’une transaction frauduleuse.
Si vous avez deviné #1, vous pensez déjà comme un cardeur !
Se casser! Mais il semble que ces violations deviennent de plus en plus courantes. Est-ce vrai?
Il est toujours difficile de dire si quelque chose devient plus courant ou si nous devenons simplement plus conscients de la chose en question. Je pense qu’il est sûr de dire que plus de gens recherchent des modèles qui révèlent ces violations de la vente au détail (y compris le vôtre, mais d’une manière ou d’une autre, celui-ci m’a surpris – et à peu près tout le monde à qui j’ai demandé – sans le savoir).
Certes, les banques – qui assument une grande partie du coût immédiat de ces violations – sont à la recherche de sang et semblent plus disposées que jamais à creuser profondément dans leurs propres données sur la fraude pour trouver des modèles qui révéleraient quels commerçants ont été piratés. Visa et MasterCard ont chacune mis en place des systèmes permettant aux banques de récupérer au moins une partie des coûts associés à la fraude par carte de crédit et de débit au détail (comme le coût de la réémission de cartes compromises), mais les banques doivent encore être en mesure de lier des cartes compromises spécifiques à des violations spécifiques de marchands.
En supposant que nous constatons une augmentation de l’incidence de ce type de fraude, pourquoi cela pourrait-il être le cas ?
Une réponse possible est que les fraudeurs se rendent compte que le temps presse et que les détaillants américains ne sont pas toujours une cible aussi lucrative. Une grande partie de la communauté de la vente au détail s’efforce de respecter la date limite d’octobre 2015 mise en place par MasterCard et Visa pour passer aux terminaux de cartes à puce et NIP dans leurs caisses. De manière quelque peu embarrassante, les États-Unis sont le dernier des pays du G20 à adopter cette technologie, qui intègre une petite puce informatique dans chaque carte, ce qui rend beaucoup plus coûteux et difficile (mais pas impossible) pour les fraudeurs de cloner des cartes volées.
Cette échéance d’octobre 2015 s’accompagne d’un changement de responsabilité pour les commerçants qui n’ont pas encore adopté la puce et le NIP (c’est-à-dire que les commerçants non conformes pourraient se retrouver responsables de tous les frais frauduleux sur les achats impliquant des cartes à puce qui ont été au lieu de cela, simplement glissé dans un lecteur de carte à bande magnétique ordinaire au moment du paiement).
Quand est-ce que c’est déjà assez pour les méchants ?
Je n’ai trouvé personne qui semble connaître la réponse à cette question, mais je vais essayer : il semble y avoir un décalage fondamental entre les fraudeurs qui incitent à ces infractions/vendent ces cartes et les voyous qui finissent par les acheter. cartes volées.
Le problème, c’est qu’à la suite d’importantes violations de cartes à Cible, Michels, Sally Beauté, PF Chang’s, et. al., le marché souterrain de ces cartes apparaîtrait à la plupart des observateurs comme presque complètement saturé.
Par exemple, dans ma propre analyse économique des 40 millions de cartes volées lors de la violation de Target, j’estime que les escrocs responsables de cette violation n’ont réussi à vendre qu’environ 2 à 4 % des cartes qu’ils ont volées. Mais ce chiffre ne raconte qu’une partie de l’histoire. J’ai également parlé avec un certain nombre de banques et leur ai demandé : parmi les cartes dont Visa et MasterCard vous ont dit qu’elles avaient été compromises dans la violation de Target, sur quel pourcentage de ces cartes avez-vous réellement constaté une fraude ? La réponse : seulement entre trois et sept pour cent !
Ainsi, alors que la demande pour toutes les cartes émises par des banques spécifiques, sauf un sous-ensemble, peut être faible (les escrocs qui achètent des cartes volées ont tendance à acheter des cartes émises par des banques plus petites qui n’ont peut-être pas d’aussi bonnes capacités de détection et de réponse à la fraude), les pirates responsables de ces violations ne semblent pas se soucier beaucoup des lois fondamentales de l’offre et de la demande. En effet, même un ratio de vente de 2 à 4 % représente toujours beaucoup d’argent lorsque vous parlez d’une violation impliquant des millions de cartes qui se vendent chacune entre 10 $ et 30 $.
Vous avez d’autres questions ? Lancez-vous dans la section des commentaires. Je ferai de mon mieux pour les aborder quand le temps le permettra.
Voici un lien à la déclaration d’AB Acquisition LLC sur cette dernière violation.