Il y a des années, la plupart des pays civilisés sont passés à l’exigence de puces informatiques dans les cartes de paiement, ce qui rend beaucoup plus coûteux et difficile pour les voleurs de les cloner et de les utiliser à des fins frauduleuses. Une exception notable est les États-Unis, qui continuent d’avancer vers cet objectif. Voici un aperçu des ravages que le décalage a causés, comme en témoignent les habitudes d’achat dans l’un des plus grands magasins de cartes volées du métro qui a été piraté l’année dernière.
En octobre 2019, quelqu’un a piraté BreachtraceClub, un bazar populaire de cartes volées qui utilise la ressemblance et le nom de cet auteur dans son marketing. Celui qui a compromis la boutique a siphonné des données sur des millions de comptes de carte qui ont été acquis sur quatre ans par divers moyens illicites auprès d’entreprises légitimes et piratées du monde entier, mais principalement auprès de marchands américains. Cette base de données a été divulguée à BreachTrace, qui à son tour l’a partagée avec plusieurs sources qui aident à lutter contre la fraude par carte de paiement.
Parmi les récipiendaires figurait Damon McCoyprofesseur agrégé à Tandon School of Engineering de l’Université de New York [full disclosure: NYU has been a longtime advertiser on this blog]. Le travail de McCoy pour sonder les systèmes de cartes de crédit utilisés par certains des plus grands fournisseurs mondiaux de courrier indésirable a considérablement enrichi les données qui ont informé mon livre 2014 Pays du spamet je voulais m’assurer que lui et ses collègues avaient également accès aux données du BreachtraceClub.
McCoy et ses collègues chercheurs de la NYU ont découvert que BreachtraceClub avait généré près de 104 millions de dollars de revenus bruts de 2015 au début de 2019 et répertorié plus de 19 millions de numéros de cartes uniques à vendre. Environ 97% de l’inventaire était constitué de données de bande magnétique volées, couramment utilisées pour produire des cartes contrefaites pour les paiements en personne.
« Ce qui m’a le plus surpris, c’est qu’il y a encore beaucoup de gens qui utilisent leur carte pour effectuer des transactions ici », a déclaré McCoy.
En 2015, les principales associations de cartes de crédit ont institué de nouvelles règles qui ont rendu plus risqué et potentiellement plus coûteux pour les commerçants américains de continuer à permettre aux clients de glisser la bande au lieu de tremper la puce. Pour compliquer cette transition, de nombreuses banques américaines émettrices de cartes ont mis des années à remplacer les stocks de cartes de leurs clients par des cartes à puce, et d’innombrables détaillants ont traîné des pieds dans la mise à jour de leurs terminaux de paiement pour accepter les cartes à puce.
En effet, trois ans plus tard, le Réserve fédérale américaine estimé (PDF) que 43,3 % des paiements par carte en personne étaient encore traités en lisant la bande magnétique au lieu de la puce. Cela n’aurait peut-être pas été si grave si les terminaux de paiement de bon nombre de ces commerçants n’avaient pas également été compromis par des logiciels malveillants qui copiaient les données lorsque les clients glissaient leurs cartes.
Suite au changement de responsabilité de 2015, plus de 84 % des cartes sans puce annoncées par BreachtraceClub ont été vendues, contre seulement 35 % des cartes à puce au cours de la même période.
« Toutes les cartes sans puce étaient beaucoup plus demandées », a déclaré McCoy.
De manière peut-être surprenante, McCoy et ses collègues chercheurs de la NYU ont découvert que les clients de BreachtraceClub n’achetaient que 40 % de son inventaire global. Mais ce qu’ils ont acheté soutient l’idée que les escrocs se tournent généralement vers les cartes émises par des institutions financières qui sont perçues comme ayant moins ou plus de protections laxistes contre la fraude.
Source : Université de New York.
Alors que les 10 plus grands émetteurs de cartes aux États-Unis représentaient près de la moitié des comptes mis en vente chez BreachtraceClub, seuls 32% de ces comptes ont été vendus – et à environ la moitié du prix médian de ceux émis par les petites et moyennes entreprises. des établissements de taille moyenne.
En revanche, plus de la moitié des cartes volées émises par les petites et moyennes institutions ont été achetées à la boutique antifraude. Cela était vrai même si à la fin de 2018, 91 % des cartes en vente dans les institutions de taille moyenne étaient à puce et 89 % dans les petites banques et coopératives de crédit. Presque toutes les cartes émises par les dix plus grands émetteurs de cartes américains (98 %) étaient à puce à cette époque.
VERROUILLAGE RÉGIONAL
Les chercheurs ont découvert que les clients de BreachtraceClub préféraient fortement les cartes émises par des institutions financières dans des régions spécifiques des États-Unis, en particulier le Colorado, le Nevada et la Caroline du Sud.
« Pour une raison quelconque, ces régions étaient perçues comme ayant des systèmes anti-fraude inférieurs ou ceux qui n’étaient pas aussi efficaces », a déclaré McCoy.
Les cartes compromises des marchands de Caroline du Sud étaient particulièrement demandées, les fraudeurs étant prêts à dépenser deux fois plus pour ces cartes par habitant que tout autre État – environ 1 $ par habitant.
Cette tendance des ventes se reflétait également dans les tickets d’assistance déposés par les clients de BreachtraceClub, qui étaient fréquemment informés que les cartes liées au sud-est des États-Unis étaient moins susceptibles d’être restreintes pour une utilisation en dehors de la région.
Image : NYU.
McCoy a déclaré que l’absence de verrouillage régional faisait également des cartes volées émises par les banques en Chine une marchandise très recherchée, même si ces cartes exigeaient des prix beaucoup plus élevés (souvent plus de 100 dollars par compte) : les chercheurs de la NYU ont découvert que pratiquement toutes les cartes chinoises disponibles étaient vendues. peu de temps après leur mise en vente. Idem pour les cartes d’entreprise et de visite relativement peu nombreuses à vendre.
Un manque de verrous de région peut également avoir incité les voleurs de cartes à acheter autant de cartes qu’ils le pouvaient auprès de USAA, une caisse d’épargne qui s’adresse aux membres actifs et anciens du service militaire et à leurs familles immédiates. Plus de 83% des cartes USAA disponibles ont été vendues entre 2015 et 2019, ont découvert les chercheurs.
Bien que les cartes Visa représentaient plus de la moitié des comptes mis en vente (12,1 millions), seulement 36 % ont été vendus. Les MasterCards étaient les deuxièmes les plus abondantes (3,72 millions), et pourtant plus de 54 % d’entre elles se sont vendues.
American Express et Découvrirqui, contrairement à Visa et MasterCard, sont des réseaux dits en « boucle fermée » qui ne dépendent pas d’institutions financières tierces pour émettre des cartes et gérer les fraudes, ont vu respectivement 28,8% et 33% de leurs cartes volées achetées.
PRÉPAYÉS
Certaines personnes préoccupées par le fléau de la fraude par carte de débit et de crédit optent pour l’achat de cartes prépayées, qui bénéficient généralement des mêmes protections de titulaire de carte contre les transactions frauduleuses. Mais l’équipe de la NYU a découvert que les comptes prépayés compromis étaient achetés à un taux beaucoup plus élevé que les cartes de débit et de crédit ordinaires.
Plusieurs facteurs peuvent jouer ici. Pour commencer, relativement peu de cartes prépayées en vente étaient à puce. McCoy a déclaré que certaines données suggéraient que bon nombre de ces prépaiements étaient délivrés à des personnes percevant des prestations gouvernementales telles que le chômage et l’aide alimentaire. Plus précisément, les informations sur le «code de service» associées à ces cartes prépayées indiquaient que beaucoup étaient restreintes pour une utilisation dans des endroits comme les magasins d’alcools et les casinos.
« C’était une découverte assez triste, car si vous n’avez pas de banque, c’est probablement ainsi que vous recevez votre salaire », a déclaré McCoy. « Ces cartes ont été ciblées de manière disproportionnée. Ce qui est malheureux et frappant, c’est la demande pure et le manque de [chip] prise en charge des cartes prépayées. De plus, ces cartes étaient probablement plus attrayantes pour les fraudeurs parce que [the issuer’s] les contre-mesures anti-fraude n’étaient pas à la hauteur, peut-être parce qu’ils connaissent moins leurs clients et leur historique d’achat typique.
BÉNÉFICES
Les chercheurs de la NYU estiment que BreachtraceClub a généré environ 24 millions de dollars de bénéfices sur quatre ans. Ils ont calculé ce nombre en prenant les plus de 100 millions de dollars de ventes totales et en soustrayant les commissions versées aux voleurs de cartes qui ont approvisionné le magasin en produits frais, ainsi que le prix des cartes qui ont été remboursées aux acheteurs. BreachtraceClub, comme de nombreux autres magasins de cartes volées, offre des remboursements sur certains achats si l’acheteur peut démontrer que les cartes n’étaient plus actives au moment de l’achat.
En moyenne, BreachtraceClub a payé des commissions aux fournisseurs allant de 50 à 60 % de la valeur totale des cartes vendues. Les comptes de carte non présente (CNP) – ou ceux volés auprès de détaillants en ligne et achetés par des fraudeurs principalement pour frauder d’autres marchands en ligne – ont rapporté une commission de fournisseur beaucoup plus élevée de 80%, mais principalement parce que ces cartes étaient très demandées et faible approvisionnement.
L’équipe de la NYU a découvert que les ventes sans carte ne représentaient que 7 % de tous les revenus, même si les voleurs de cartes sont clairement désormais beaucoup plus incités à cibler les marchands en ligne.
Une histoire ici l’année dernière a observé que ce bras de fer entre l’offre et la demande avait contribué à augmenter considérablement les prix des comptes sans carte dans plusieurs magasins de cartes de crédit volés dans le métro. Il n’y a pas si longtemps, le prix des comptes CNP était inférieur de moitié à celui des comptes avec carte. De nos jours, ces prix sont à peu près équivalents.
L’une des raisons probables de ce changement est que les États-Unis sont le dernier des pays du G20 à effectuer une transition complète vers des cartes de paiement à puce plus sécurisées. Dans tous les autres pays qui ont depuis longtemps fait la transition vers la carte à puce, ils ont vu la même dynamique : comme ils ont rendu plus difficile pour les voleurs de contrefaire des cartes physiques, la fraude n’a pas disparu mais s’est plutôt déplacée vers les marchands en ligne.
La même progression se produit actuellement aux États-Unis, seule la demande de données CNP volées dépasse encore largement l’offre. Ce qui pourrait expliquer pourquoi nous avons constaté une telle augmentation ces dernières années du nombre de sites de commerce électronique piratés.
« Tout le monde souligne cet effet de déplacement de la fraude par carte présente à la fraude par carte non présente », a déclaré McCoy. « Mais si l’approvisionnement n’est pas là, il n’y a que peu de place pour que ce déplacement se produise. »
Il ne fait aucun doute que l’épidémie de fraude par carte a largement profité du piratage des chaînes de vente au détail – en particulier des restaurants – qui permettent toujours aux clients de glisser des cartes à puce. Mais comme nous le verrons dans un article qui sera publié demain, de nouvelles recherches suggèrent que les voleurs commencent à déployer des méthodes ingénieuses pour convertir les données de carte de certaines transactions à puce compromises en cartes physiques contrefaites.
Une copie du document de recherche de la NYU est disponible ici (PDF).